Windows XP, Домой выпуская приблизительно 20 запросов ARP в секунду
Меня попросили удаленно починить компьютер члена семьи, который работает "медленный". Я сделал, чтобы они выполнили любое количество S&D и сканирований AVG, даже в безопасном режиме, но они не находят ничего из интереса. В использовании Удаленного помощника для ввода по абсолютному адресу вокруг я установил Wireshark и обнаружил, что поле выпускает до 20 запросов ARP в секунду, главным образом для его локальной подсети (непосредственно подключенный к модему USB-кабеля WebSTAR 2000), как замечено в диаграмме ниже.
IP-адрес в то время был 70.119.184.xx/255.255.240.0. Шлюз по умолчанию был 70.119.176.1, и сервер DHCP был 10.212.0.1.
Действительно ли возможно, что это - правомерный трафик, или действительно ли это - признак червя как WootBot, пытающийся распространяться?
Править: Я думаю, что машина заражена троянцем. Opachki или что-то в точности как он.
Править: Трафик ARP на самом деле получен в другом месте, таким образом, это не проблема с рассматриваемой машиной. Были знаки заражения Opachki, но я думаю, что это было разрешено. Я подавлю его для маршрутизатора следующее Рождество.
3 ответа
Не быть некомпанейским человеком, но размером подсети не важно количеству широковещательных сообщений ARP в секунду. Просто, потому что подсеть является достаточно большой для x количества хостов, не означает, что хост будет ARP для x количества IP-адресов в той подсети. Хост отправляет пакет ARP, когда он должен отправить пакет в другой хост. Единственное время, в котором хост будет ARP для x количества IP-адресов, он - подсеть (или большое количество IP-адресов в, он - подсеть), то, если это сканирует диапазон IP-адреса, поскольку это - подсеть (использующий программу сканирования IP), это заражено вредоносными программами или имеет дефектный NIC или драйвер NIC. Ни в какое другое время делает хост, обычно отправляют большое количество пакетов ARP как то, что Вы видите. Дополнительно хост не отправит пакет ARP за IP-адресом, на котором это не находится, он - локальная подсеть, поскольку он знает, что IP-адрес не локален и что он должен отправить его в, он - шлюз по умолчанию и поэтому не отправит пакет ARP за тем IP-адресом.
У Вас есть 5 хостов, отправляющих пакеты ARP в сети:
10.212.0.1 - Это кажется нормальным. Это - шлюз по умолчанию и в Вашем снимке экрана существует только один пакет ARP. Шлюз по умолчанию представит пакеты ARP к сети, когда это должно будет передать трафик внутреннему узлу и что MAC-адрес хостов не находится в, он - кэш ARP (как любое сетевое устройство, делает).
24.170.135.1 - Я не понимаю этого. Это - нелокальный IP-адрес. Куда это прибывает из? У Вас есть несколько сетей соединенными мостом вместе? Сделайте любой из компьютеров имеет несколько, NIC соединился с несколькими сетями или многочисленными связями, такими как соединение VPN, и т.д.
24.233.137.1 - Снова, это - нелокальный IP адрес.
70.119.248.1 - Это, вероятно, нормально, хотя IP-адреса, для которых это является ARP'ing, кажутся немного неуместными. Они находятся в той же подсети, но далеко разделенный от того, что я рассмотрел бы нормальной IP схемой адресации.
70.119.176.1 - Это - то, которое волнует меня, поскольку это - то, отправляющее объем пакетов ARP. Я подозреваю, что этот или выполняет сканирование подсети для всех IP адресов в подсети, это заражено вредоносными программами, или это имеет плохой NIC или драйвер NIC.
Лавинные рассылки ARP (который является тем, что я полагаю, что Вы имеете дело с) не являются нормальным состоянием в сети. Широковещательные сообщения ARP, превышающие приблизительно 3 - 5% всего сетевого трафика являются очень хорошим признаком, что что-то неправильно.
Править
После перечитывания Вашего вопроса с Вашими недавними редактированиями у меня есть другое мнение о том, что продолжается: если 70.119.176.1 шлюз по умолчанию для сети, и это - то, отправляющее объем запросов ARP на адреса в подсети, то я думаю, что кто-то внешний Вам выполняет IP address\port сканирование против Вашей сети, и Ваш брандмауэр не блокирует его. Для каждого зондируемого IP-адреса Ваш шлюз по умолчанию отправляет запрос ARP, чтобы попытаться найти хост на IP-адресе зондируемым. Ваш брандмауэр, маршрутизатор или модем имеют журнал, на который можно посмотреть?
Я все еще не понимаю, куда 24.x.x.x адреса прибывают из.
Хорошо с компьютером, непосредственно подключенным к кабельному модему, Вы собираетесь получить большой фоновый шум. Особенно на широковещательном домене это-/20, который может поддерживать вокруг 4.1k хосты. Я не знаком с этим модемом, действительно ли USB является единственной опцией сцепить это до локального хоста/сети?
Я всегда рекомендую поместить маршрутизатор, промежуточный сеть и широкополосное соединение. Даже если сеть состоит из одиночного компьютера. NAT отбросит любой нежелательный трафик, который будет эффективно работать брандмауэром, держащим червей от способности получить прямой доступ к компьютеру. Это особенно важно, когда Вы говорите о Windows PC.
20 ARP В секунду находятся, конечно, в диапазоне нормального фонового шума для/20 подсети. Я удивлен, что это не выше. В общих запросах ARP не themself знак червя, пытающегося распространяться. Вы знаете как раз достаточно, чтобы быть dangerouse, но не достаточно все же знать, как посмотреть на сетевой трафик. Сохраните в нем и продолжайте задавать вопросы, Вы получите понимание для создания реального использования инструментария.