Invasion de paquetes ARP
Hola!
Hace menos de dos semanas contraté el servicio de cablemodem flash internet 600k. En mi casa tengo una lan con varias pcs (yo, mi viejo, mi hermana) por lo que puse una vieja pentium como router con linux (dado que el modem que me dieron no rutea), y un MRTG con el snmpd para medir el uso de la conexion. Al cabo de unos dias veo que en el MRTG la interfaz de red en la que esta conectado el modem tiene un promedio de 30 Kilobytes/s de bajada, pero la interfaz de red que esta conectada al switch tiene un promedio de menos de 1 kbyte por segundo de salida. En el router no tengo ningun servicio o programa funcionando excepto lo minimo indispensable para hacer funcionar NAT. No hay un apache, ni ningun otro servicio que pueda estar usando la conexion.
Al cabo de un par mas de dias cuando logre encontrarme algo mas de tiempo y ganas para usar el tcpdump, encontre algo muy extraño: hay un flood de paquetes ARP entrando por la placa de red:
12:24:14.378360 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: arp who-has 201.212.81.63 tell 201.212.81.1
12:24:14.378829 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.212.81.191 tell 201.212.81.1
12:24:14.380383 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.127.189.160 tell 200.127.189.1
12:24:14.384210 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.122.80.235 tell 200.122.80.1
12:24:14.384539 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.212.201.247 tell 201.212.201.1
12:24:14.384821 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.127.30.212 tell 200.127.30.1
12:24:14.386023 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.127.62.101 tell 200.127.62.1
12:24:14.391857 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.212.205.214 tell 201.212.205.1
12:24:14.395486 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.127.127.225 tell 200.127.127.129
12:24:14.399138 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.127.50.239 tell 200.127.50.1
12:24:14.400025 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.212.145.211 tell 201.212.145.1
12:24:14.400646 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.213.7.80 tell 201.213.7.1
12:24:14.400976 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 201.212.45.44 tell 201.212.45.1
12:24:14.401996 00:01:5c:23:63:82 > ff:ff:ff:ff:ff:ff, ethertype ARP (0×0806), length 60: arp who-has 200.122.80.158 tell 200.122.80.1
Y no solo eso, estas son las estadisticas:
# tcpdump -vvvne host ! 192.168.2.9 > arp-flood.txt
# cat arp-flood.txt | grep arp | grep 12:24:18 | wc -l
306
# cat arp-flood.txt | grep arp | grep 12:24:19 | wc -l
307
# cat arp-flood.txt | grep arp | grep 12:24:20 | wc -l
309
# cat arp-flood.txt | grep arp | grep 12:24:21 | wc -l
316
# cat arp-flood.txt | grep arp | grep 12:24:22 | wc -l
340
# cat arp-flood.txt | grep arp | grep 12:24:23 | wc -l
312
# cat arp-flood.txt | grep arp | grep 12:24:24 | wc -l
321
# cat arp-flood.txt | grep arp | wc -l
3884
# cat arp-flood.txt | wc -l
3906
Como se pueden imaginar, 192.168.2.9 es la direccion de mi pc en la lan y al router me conecto por ssh.
Buscando en internet encontre esto:
http://lists.debian.org/debian-user/2001/06/msg01689.html
En fin, alguien me puede decir que esta pasando o que puedo hacer ?
June 1st, 2007 at 19:29
Yo tengo Flash de 1 mega y me pasa exactamente lo mismo, hay mucho ancho de banda consumiendose, y, usando diferentes analizadores de redes, o sniffers, me di cuenta que había una descomunal cantidad de peticiones ARP llegando a mi máquina, de diferentes IPs de la red, destinadas a Broad, por lo que todos deben estar recibiendolo.
La verdad es que no tengo una solución, pero me voy a poner en contacto con la compañia. En algún momento pense que podía ser algún programa instalado en mi máquina (ya que solía utilizar generadores de paquetes), pero parece que no…
June 17th, 2007 at 21:02
Yo siempre tuve la teoria de que los ISPs hacen NAT reverso y escaneos de segmentos de red y esas giladas para ver cuantas PCs tenes conectadas a Inet, y si estas infringiendo es de “una pc por conexion”, como suelen estipular los ISPs. Pero en este caso no tendria sentido, por lo que veo es hacia una sola PC. Pero es un hint, yo trabajaba en un ISP y esas cosas se hacen.
;)