Sziasztok!
Némi rejtélyes adatforgalommal kapcsolatban lenne kérdésem:
Ma bekötötték nálam a UPC Chello internetet. Még sosem találkoztam kábelnettel, és most fura dolgot tapasztalok: folyamatosan van adatforgalom, a wireshark szerint a protokoll ARP és a cím broadcast. Az előbbi két fogalommal alapszinten tisztában vagyok, csak fogalmam sincs, mi vagy ki generálja a forgalmat. Brutális mennyiségű ilyen csomagot kapok. Néha 1-2 percre csillapodik, de aztán újabb hullám érkezik. Valaki hozzáértő röviden összefoglalná, hogy mi ez az egész, illetve mit lehet tenni ellene? (Linux és Windows van a gépemen).
- 2594 megtekintés
Hozzászólások
Szia,
Én is tapasztalom ezt...
main:~# tcpdump -i eth0 arp
01:51:21.145813 arp who-has catv-89-132-184-63.catv.broadband.hu tell catv-89-132-185-254.catv.broadband.hu
01:51:21.189808 arp who-has catv-89-132-249-149.catv.broadband.hu tell catv-89-132-249-254.catv.broadband.hu
01:51:21.307326 arp who-has catv-89-132-104-207.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.481003 arp who-has catv-89-132-108-132.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.561818 arp who-has catv-89-132-110-214.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.674167 arp who-has catv-89-132-111-196.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.679103 arp who-has catv-89-132-184-183.catv.broadband.hu tell catv-89-132-185-254.catv.broadband.hu
01:51:21.780059 arp who-has catv-89-132-107-195.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.805970 arp who-has catv-89-132-185-113.catv.broadband.hu tell catv-89-132-185-254.catv.broadband.hu
01:51:21.806354 arp who-has catv-89-132-111-223.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
01:51:21.865448 arp who-has catv-89-132-110-85.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
...
Az alhálózati maszk, amit osztanak az 255.255.254.0, tehát egy subnetben 509+1 eszköz is lehet, tehát akár "normális" is lehetne..., DE túl gyakori ugyanaz a kérés:
tcpdump -i eth0 arp | grep 89-132-111-75 (véletlenszerűen választottam egy ip-t az előző capture-ből)
02:02:48.898612 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:02:50.407115 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:02:53.393336 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:02:57.484361 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:02:58.728534 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:02:59.151056 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
02:03:05.391449 arp who-has catv-89-132-111-75.catv.broadband.hu tell catv-89-132-111-254.catv.broadband.hu
Ha valakinek van valami magyarázata, ossza meg velünk pls :)
- A hozzászóláshoz be kell jelentkezni
Nem ertek hozza, de nemreg volt valami arp poisoning-ot hasznalo tamadas; lehet, hogy valaki ezt akarja kivitelezni...
(Csak hogy keltsem a hangulatot igy koran reggel :)
- A hozzászóláshoz be kell jelentkezni
A 89.132.111.254 feltételezhetően a UPC routere, amelyet az előfizetők átjáróként használnak. Nem élő IP-re kívülről érkező csomagok hatása lehet. Ebben az esetben normális.
- A hozzászóláshoz be kell jelentkezni
Igazad van... (hogy én erre nem gondoltam... duh... :))
Még gerjeszteni is tudtam az arp kéréseket egy kis ping flooddal egy nem élő hosztra....
- A hozzászóláshoz be kell jelentkezni
mivel kabelnet halozat gyakorlatilag egy ethernet halozat, azon se lepodj meg ha a kesobbiekben talalkozol windows broadcast-ekkel, mert valaki raengedte netbiost a kabelmodemre..
- A hozzászóláshoz be kell jelentkezni
Tudomasom szerint szurik az ilyeneket, bar lehet, hogy csak tevedesben elek.
-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)
- A hozzászóláshoz be kell jelentkezni
fibernetnel nem szurik :D
- A hozzászóláshoz be kell jelentkezni
UPC szuri 135-139 udp-t asszem + 445-ot
- A hozzászóláshoz be kell jelentkezni
Nemtom nálam régebben a Netscan nevü progi jól jött mivel a szomszéd megosztott meghajtójáról is tudtam "csemegézni" ! :P
Oykawa Hirohito
- A hozzászóláshoz be kell jelentkezni
Akkor tehát ez csak a szokásos ethernetes forgalom. Hm. Nade folyamatosan ilyen nagy arányú ARP broadcast üzenet éjjel-nappal megállás nélkül... Ez azért furcsa. Egyáltalán ilyenkor kinél számítja be az adatforgalomba a UPC? Hiszen mindenki megkapja, akár akarja akár nem.
- A hozzászóláshoz be kell jelentkezni
"Nade folyamatosan ilyen nagy arányú ARP broadcast üzenet éjjel-nappal megállás nélkül... "
Azt kellene pontosítani, hogy a "brutális mennyiségű" mégis mekkora forgalmat jelent, hogy te is csak a gateway felől kapod-e, vagy több host generálja.
"Egyáltalán ilyenkor kinél számítja be az adatforgalomba a UPC?"
A forgalommérés ügyében a UPC-t lenne érdemes megkérdezni, hogy a mért forgalom csak IP forgalmat takar-e, ennek megismerésére az ÁSZF jogot biztosít.
ÁSZF 2. sz. melléklet, Adatforgalmi mérések módja
"Minden az internet felé irányuló forgalom, amelyet az Előfizető generál, vagy az internet felől az Előfizetőhöz érkezik, a Szolgáltató Forgalom Mérési Rendszerében rögzítésre kerülhet."
"Az internet felé vagy felől irányuló forgalomnak számít minden forgalom, amely a kábel modem ethernet és/vagy USB portján keresztül halad át."
"A Szolgáltató az Előfizető, vagy Igénylő számára – annak kérésére – az adatforgalom mérésének részletes szabályairól minden szükséges felvilágosítást megad."
- A hozzászóláshoz be kell jelentkezni
"Azt kellene pontosítani, hogy a "brutális mennyiségű" mégis mekkora forgalmat jelent, hogy te is csak a gateway elől kapod-e, vagy több host generálja."
Sajnos ennyire nem értek hozzá. Ilyesmik jönnek:
Forrás: Cadant_XX:XX:XX (mindig ugyanazok a számjegyek)
Cél: Broadcast
Leirás: Who has [IP cím]? Tell [IP cím]
Most 80.99.XX.XX-es címem van (dinamikus), és a kérdések nagy része 80.99.XX.254 vagy 80.98.XX.254 címről érkezik, és a kérdés is ezekre a tartományokra vonatkozik. Viszont van olyan kérdés, ami a 172.XX.XX.254 címről érkezik és 172.XX.XX.XX alakú címet keres. Ahhoz vajon mi közöm?!
A mennyiség napi pár megabyte, ami a korlátlan adatforgalmú előfizetés miatt nem is érdekes tulajdonképpen, és a hasznos sávszélességet sem befolyásolja jelentősen. Tulajdonképpen leginkább azért bosszantó, mert a grafikus hálózatiforgalom-jelző appletek használhatatlanok miatta: folyamatosan 20-30%-os hálózati forgalmat jeleznek, így nem látom, mikor tölt tőlem valamilyen program a háttérben.
Szerk.: Amúgy köszönöm az összefoglalót a mérésről.
- A hozzászóláshoz be kell jelentkezni
"a kérdések nagy része 80.99.XX.254 vagy 80.98.XX.254 címről érkezik, és a kérdés is ezekre a tartományokra vonatkozik."
Ezek lehetnek a gateway(ek) címe(i).
"Forrás: Cadant"
Ez valószínűleg a CMTS lesz.
"Ahhoz vajon mi közöm?!"
Semmi, de a broadcast jellegéből adódóan megkapod.
"A mennyiség napi pár megabyte"
"... folyamatosan 20-30%-os hálózati forgalmat jeleznek..."
Valami nagyon nem stimmel a feltételezés vagy a számolás környékén, valószínűleg a mérő alkalmazás nem ismeri a valós sávszélességet. Erre te is utalsz: "a hasznos sávszélességet sem befolyásolja jelentősen". Egy ARP request csomag mérete megközelítőleg 60 byte. Ahhoz, hogy egy 10 Mbps-os ethernet interfészen 20%-os (2 Mbps) terhelést okozzon, másodpercenként több mint négyezer ARP kérést kellene kapnod, ez pedig 858 MiB letöltésnél is többet jelentene egy óra alatt. Ha pedig csak a jelenlegi legkisebb kábelnetes díjcsomag garantált (minimum) letöltési sávszélességével (512 kbps) kalkulálunk, akkor másodpercenként 213 csomag, és óránként 44 MiB lenne az eredmény. Elszámoltam volna valamit?
0,2 * 1250000 Bps / 60 byte = 4166,66 pps0,2 * 1250000 Bps * 3600 s = 900000000 Byte0,2 * 64000 Bps / 60 byte = 213,33 pps0,2 * 64000 Bps * 3600 s = 46080000 BytePróbálj körülnézni az appletek beállításainál. A broadcast forgalom csomagszámlálóját pedig meg tudod nézni a netstat -sw paranccsal.
- A hozzászóláshoz be kell jelentkezni