O Windows XP Home emitindo cerca de 20 pedidos de ARP por segundo

2

Fui solicitado a consertar remotamente o computador de um membro da família que está executando "lento". Eu os fiz executar qualquer número de varreduras de S & D e AVG, mesmo em modo de segurança, mas eles não acham nada de interesse. Ao usar a Assistência Remota para examinar, instalei o Wireshark e descobri que a caixa está emitindo até 20 solicitações de ARP por segundo, principalmente para sua sub-rede local (diretamente conectada ao modem a cabo USB WebSTAR 2000), como visto no gráfico abaixo.

O endereço IP no momento era 70.119.184.xx / 255.255.240.0. O gateway padrão era 70.119.176.1 e o servidor DHCP era 10.212.0.1.

É possível que isso seja um tráfego legítimo, ou isso é um sintoma de um worm como o WootBot tentando se espalhar?

EDIT: Eu acho que a máquina está infectada com Trojan.Opachki ou algo muito parecido.

EDIT: O tráfego ARP é realmente originado em outro lugar, por isso não é um problema com a máquina em questão. Havia sinais de uma infecção pelo Opachki, mas acho que isso foi esclarecido. Vou colocá-lo para um roteador no próximo Natal.

    
por ongle 07.02.2010 / 02:34

3 respostas

4

Não deve ser um party pooper, mas o tamanho da sub-rede é irrelevante para o número de transmissões ARP por segundo. Só porque uma sub-rede é grande o suficiente para um número x de hosts não significa que um host irá ARP para x número de endereços IP nessa sub-rede. Um host envia um pacote ARP quando precisa enviar um pacote para outro host. A única vez que um host ARP para x número de endereços IP em sua sub-rede (ou um grande número de endereços IP em sua sub-rede) é se ele está varrendo o endereço IP para sua sub-rede (usando um programa de varredura IP), está infectado com malware, ou possui um driver NIC ou NIC defeituoso. Em nenhum outro momento um host normalmente envia um grande número de pacotes ARP como o que você está vendo. Além disso, um host não enviará um pacote ARP para um endereço IP que não esteja em sua sub-rede local, pois saberá que o endereço IP não é local e precisa enviá-lo para seu gateway padrão e, portanto, não enviará um pacote ARP para esse endereço IP.

Você tem 5 hosts enviando pacotes ARP na rede:

10.212.0.1 - Isso parece normal. Este é o gateway padrão e há apenas um pacote ARP na captura de tela. O gateway padrão enviará pacotes ARP para a rede quando precisar passar tráfego para um host interno e o endereço MAC dos hosts não estiver no cache ARP (como acontece com qualquer outro dispositivo de rede).

24.170.135.1 - Eu não entendo este aqui. Este é um endereço IP não local. De onde isto está vindo? Você tem várias redes interligadas? Algum dos computadores tem várias NICs conectadas a várias redes ou múltiplas conexões, como uma conexão VPN, etc.

24.233.137.1 - Mais uma vez, este é um endereço ip não local.

70.119.248.1 - Isso é provavelmente normal, embora os endereços IP sejam ARP'em pareçam um pouco fora do lugar. Eles estão na mesma sub-rede, mas muito separados do que eu consideraria um esquema de endereçamento IP normal.

70.119.176.1 - Este é o que me preocupa, pois é o único a enviar a maior parte dos pacotes ARP. Eu suspeito que este está realizando uma varredura de sub-rede para todos os endereços IP na sub-rede, está infectado com malware ou tem um driver NIC ou NIC com defeito.

Inundações de ARP (que é o que eu acredito que você está lidando) não são uma condição normal em uma rede. As transmissões de ARP que excedem cerca de 3 a 5% de todo o tráfego de rede são uma indicação muito boa de que algo está errado.

EDITAR

Depois de reler sua pergunta com suas edições recentes, tenho uma opinião diferente sobre o que está acontecendo: se 70.119.176.1 é o gateway padrão para a rede e é o que envia a maior parte das solicitações ARP para endereços em a sub-rede, então eu estou pensando que alguém externo a você está realizando uma varredura de endereço IP \ porta contra sua rede e seu firewall não está bloqueando isso. Para cada endereço IP que está sendo testado, seu gateway padrão está enviando uma solicitação ARP para tentar localizar um host no endereço IP que está sendo testado. Seu firewall, roteador ou modem tem um log que você pode ver?

Ainda não entendo de onde vêm os endereços 24.x.x.x.

    
por 07.02.2010 / 04:14
0

Bem, com o computador conectado diretamente ao modem a cabo, você terá muito ruído de fundo. Especialmente em um domínio de broadcast que é um / 20 que pode suportar cerca de 4.1k hosts. Eu não estou familiarizado com este modem, o USB é a única opção para conectá-lo a um host / rede local?

Eu sempre recomendo que você coloque um roteador entre a sua rede e uma conexão de banda larga. Mesmo se a rede consistir em um único computador. O NAT eliminará qualquer tráfego não solicitado que efetivamente funcionará como um firewall, evitando que os worms consigam acesso direto a um computador. Isso é especialmente importante quando você está falando de um PC com Windows.

    
por 07.02.2010 / 03:08
-1

20 ARP por segundo está certamente na faixa de ruído de fundo normal para a sub-rede / 20. Estou surpreso, não é maior. Em geral, os pedidos de ARP não são, por si mesmos, um sinal de um worm tentando se espalhar. Você sabe o suficiente para ser perigoso, mas ainda não sabe como olhar para o tráfego da rede. Continue fazendo isso e continue fazendo perguntas que você obterá a percepção para fazer uso real do seu kit de ferramentas.

    
por 07.02.2010 / 03:16