Jump to content

ARP Verständnisfrage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

mein bisheriges Verständnis für ARP geht nicht weit genug um meine Frage zu klären...

 

Wenn ich einen Rechner mit 195.230.188.x und dem Subnetz 255.255.255.0 habe, dann verstehe ich daß ich ARP Requests aus dem Netz 195.230.188.0 bekomme.

Nun bekomme ich aber auch Requests zu 195.230.x.x und auch 82.x.x.x Sendet hier ein Router einfach wahllos alles weiter was ihm unterkommt? Die Requests kommen immer von derselben Mac Adresse, also sowohl die passenden 195.230.188.x, wie auch alle anderen 195.230.x.x und auch die für mich gar nicht mehr ins Bild passenden 82.x.x.x

 

Bin ich falsch informiert daß ARP Requests normal nur aus dem selben Subnetz kommen sollten?

 

mikkie

Link zu diesem Kommentar

Eigentlich sollten die nur aus dem selben Subnetz kommen.

 

Kannst du denn die MAC lokalisieren? Wenn ja dann lass mal nen Scanner drüberlaufen. Nicht das sich die betreffende Maschine was eingefangen hat. Ich kann mich da an nen Virus erinnern, der ARP-Requests durch's LAN gedroschen hat um sich weiter zu verteilen. Komm allerdings nicht auf den Namen.

 

Vielleicht fällt er mir in zwei oder drei Kaffee wieder ein. :)

Link zu diesem Kommentar

Wie könnte man ein gefaktes ARP Paket erkennen? Das was mein Sniffer sagt sieht für mich zumindest aus wie ein normaler ARP Request.

 

Wenn ich die Sender IP trace, führt mich das zu einem Server meines ISP. Kann man sagen ob der die Request nur unangesehen weitersendet oder kommen die Requests von dem Server selber?

Hab hier einen kurzen Auszug von dem was sich auf meinem Rechner tut... Habe mir erlaubt die letze Oktett durch ein x zu ersetzen, die Anfrage kommt laut Sniffer jeweils von der x.x.x.1.

 

Frame Status Source Address Dest. Address Size Rel. Time Delta Time Abs. Time Summary

1521 000ED6BF9070 Broadcast 60 0:03:23.694 0.073.003 16.08.2004 08:41:34 ARP: C PA=[82.149.105.x] PRO=IP

1522 000ED6BF9070 Broadcast 60 0:03:23.982 0.288.027 16.08.2004 08:41:34 ARP: C PA=[195.230.179.x] PRO=IP

1523 000ED6BF9070 Broadcast 60 0:03:24.312 0.329.959 16.08.2004 08:41:34 ARP: C PA=[195.230.179.x] PRO=IP

1524 000ED6BF9070 Broadcast 60 0:03:24.484 0.172.050 16.08.2004 08:41:35 ARP: C PA=[195.230.175.x] PRO=IP

1525 000ED6BF9070 Broadcast 60 0:03:24.556 0.071.567 16.08.2004 08:41:35 ARP: C PA=[82.149.105.x] PRO=IP

1526 000ED6BF9070 Broadcast 60 0:03:24.674 0.118.351 16.08.2004 08:41:35 ARP: C PA=[82.149.105.x] PRO=IP

1527 000ED6BF9070 Broadcast 60 0:03:25.580 0.906.093 16.08.2004 08:41:36 ARP: C PA=[195.230.175.x] PRO=IP

1528 000ED6BF9070 Broadcast 60 0:03:25.983 0.402.108 16.08.2004 08:41:36 ARP: C PA=[195.230.179.x] PRO=IP

1529 000ED6BF9070 Broadcast 60 0:03:26.072 0.089.920 16.08.2004 08:41:36 ARP: C PA=[195.230.188.x] PRO=IP

Link zu diesem Kommentar

Die Kommunikation mit dem ISP ist leider nicht ganz einfach, gab viele Leute die sich über zuviel Traffic beschwert haben, die recht lapidare Antwort war man soll sein System auf Spyware prüfen, von Ihrer Seite sei alles in Ordnung. Von ARP Requests wollten die gar nichts wissen.

 

Bevor ich da also nochmal Anfrage wollt ich mich so gut wie möglich erkundigen ob das irgendwie erklärlich ist oder der Fehler an meinem Rechner liegen könnte... Meine Erfahrungen mit ARP Requests waren vorher kaum vorhanden :-)

 

Können die Requests von irgendwoher kommen, also eben in die Richtung Virus/Portscan u.ä. und beim Provider "nur" der Fehler liegen daß die Requests weitergeleitet werden?

Kann man anhand der obigen Daten zumindest mal ausschließen daß mein Rechner da schuld daran ist?

Link zu diesem Kommentar

ich kann mich noch errinern dass es auch ARP-Request anforderungen gibt, welche nicht Netzgebunden sind. Es handelt sich hierbei um Proxy-ARP. Ich habe in Internet nachgeschaut und etwas gefunden, vielleicht hilft es weiter "Da es sich bei ARP-Paketen um Broadcasts handelt werden sie nicht geroutet, sondern bleiben in dem Netz, in dem sie abgesandt wurden. Damit man trotzdem noch mit Rechnern in anderen Netzsegmenten reden kann nimmt man etwas namens Proxy-ARP. Dabei macht der Router einen entsprechenden Eintrag in seinen ARP-Cache und sendet alle Pakete für Rechner in dem entsprechenden Netz dorthin. Auf diese Art können LANs transparent verbunden werden."

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...