---

Normalt er det et tegn på en virusinfektion når en windowsmaskine arp
flooder (=titusinder af requests pr. time i hele subnet-ranget).
Vi har på det LAN jeg har netadgang igennem brugt netop dette til at
forsøge at finde folk der har virus og derved belaster netværket
unødigt. Det er dog sket det at flere og flere af dem vi "buster" som
folk med virus viser sig ikke at have virus - iflg. fuldstændig
opdaterede scannere!

Det leder til mit spørgsmål - kan der være andre årsager end virus
til at en PC ARP flooder et netværk ?

Bemærk XPost - sæt fut som relevant.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

"Henrik Stidsen"
> Normalt er det et tegn på en virusinfektion når en windowsmaskine arp
> flooder (=titusinder af requests pr. time i hele subnet-ranget).
> Vi har på det LAN jeg har netadgang igennem brugt netop dette til at
> forsøge at finde folk der har virus og derved belaster netværket
> unødigt. Det er dog sket det at flere og flere af dem vi "buster" som
> folk med virus viser sig ikke at have virus - iflg. fuldstændig
> opdaterede scannere!
>
> Det leder til mit spørgsmål - kan der være andre årsager end virus
> til at en PC ARP flooder et netværk ?

FUT dk.edb.netvaerk

Jeg har været ude for at en NetGear blå switch med 4 porte en sjælden gang
imellem
har 'lagt nettet ned' med længere svartider for mig og mine kollegaer.
Det var switchen som udsendte mange uønskede requests.
Ved at tænde og slukke for net switchen ophørte problemet.
Jeg tror der er en softwarefejl i den type switch, som forårsager at dens
interne
info går i kage.

Mvh
Thorkild Dalsgaard

---

"Thorkild Dalsgaard" <tdalsgaard@despammed.com> wrote in
news:411d0e15$0$161$edfadb0f@dtext02.news.tele.dk

> Jeg har været ude for at en NetGear blå switch med 4 porte en
> sjælden gang imellem
> har 'lagt nettet ned' med længere svartider for mig og mine
> kollegaer. Det var switchen som udsendte mange uønskede
> requests. Ved at tænde og slukke for net switchen ophørte
> problemet. Jeg tror der er en softwarefejl i den type switch,
> som forårsager at dens interne
> info går i kage.

Er en mulighed - men jeg tror næppe det er årsagen, i så fald er der
mange defekte switche på vores netværk. Det er det kollegienet jeg
har skrevet om tidligere (noget med RARP og ARP opslag) og hvis der
på 20-30 værelser står defekte switche - lyder det ikke urealistisk ?
:)

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

> "Thorkild Dalsgaard" skrev:
>> Ved at tænde og slukke for net switchen ophørte
> > problemet.

"Henrik Stidsen" skrev:
> Er en mulighed - men jeg tror næppe det er årsagen, i så fald er der
> mange defekte switche på vores netværk. Det er det kollegienet jeg
> har skrevet om tidligere (noget med RARP og ARP opslag) og hvis der
> på 20-30 værelser står defekte switche - lyder det ikke urealistisk ?

I mit tilfælde skulle der kun een dårligt fungerende switch til at lægge
stort set hele nettet ned -
der var samtidigt mange andre kørende switche som ikke gav
disse symptomer.

mvh
Thorkild Dalsgaard

---

"Thorkild Dalsgaard" <tdalsgaard@despammed.com> wrote in
news:411dca36$0$160$edfadb0f@dtext02.news.tele.dk

> I mit tilfælde skulle der kun een dårligt fungerende switch til
> at lægge stort set hele nettet ned -
> der var samtidigt mange andre kørende switche som ikke gav
> disse symptomer.

Jow, men vi har mange forskellige IPer der ARP flooder.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On Fri, 13 Aug 2004 22:37:13 +0000, Henrik Stidsen wrote:

> Er en mulighed - men jeg tror næppe det er årsagen, i så fald er der
> mange defekte switche på vores netværk. Det er det kollegienet jeg
> har skrevet om tidligere (noget med RARP og ARP opslag) og hvis der
> på 20-30 værelser står defekte switche - lyder det ikke urealistisk ?
> :)

Hvor meget båndbredde bruger disse ARP-opslag reelt? Og hvilke
problemer givet det? Hvis det er et problem, kunne I vel blot vedtage, at
alt sådan "ARP-skanning" på netværket er forbudt, virus eller ej.

Jeg administrerer selv et stort kollegienetværk, og jeg synes aldrig vi
har sådanne problemer.

--
Morten Bakkedal
http://www.bakkeland.dk/

---

Morten Bakkedal <nobody@bakkeland.dk> wrote in
news:pan.2004.08.15.15.23.04.663705@bakkeland.dk

> Hvor meget båndbredde bruger disse ARP-opslag reelt? Og hvilke
> problemer givet det? Hvis det er et problem, kunne I vel blot
> vedtage, at alt sådan "ARP-skanning" på netværket er forbudt,
> virus eller ej.

Det er ikke så meget båndbredden men mere pakkeraten der et problem.
Når de er igang står de gerne for 70-90% af pakkerne på et netkort.

Men problemet er ikke så meget at det foregår, det er mere det at der
er virus på netværket - hvilket vi jo helst vil undgå. Derfor har vi
brugt løsningen at blokere folks internetadgang når de viste disse
tegn på virus, det er noget der virkelig kan få folk op af stolen!
Det har bare vist sig at alt for mange af dem ikke kan finde nogen
former for virus, end ikke med onlinescannere...

> Jeg administrerer selv et stort kollegienetværk, og jeg synes
> aldrig vi har sådanne problemer.

Prøv at sætte Ethereal til at lytte på et netkort - er ret sikker på
i har folk der laver det nummer.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On Sun, 15 Aug 2004 18:14:14 +0000, Henrik Stidsen wrote:

> Det er ikke så meget båndbredden men mere pakkeraten der et problem.
> Når de er igang står de gerne for 70-90% af pakkerne på et netkort.

Men hvis det kun er et par pakker per sekund, er det vel ikke noget stort
problem i sig selv?

> Men problemet er ikke så meget at det foregår, det er mere det at der
> er virus på netværket - hvilket vi jo helst vil undgå.

Ja. Men hvis det ikke ødelægger netværket eller er med til at nedbringe
fremkommenligheden på Internettet er jeg rimelig rolig.

> Derfor har vi brugt løsningen at blokere folks internetadgang når de
> viste disse tegn på virus, det er noget der virkelig kan få folk op af
> stolen! Det har bare vist sig at alt for mange af dem ikke kan finde
> nogen former for virus, end ikke med onlinescannere...

Det lyder lidt underligt. Men jeg har heller ingen idé om hvor gode
virusserne i dag er blevet til at blokere for virusskannere.

> Prøv at sætte Ethereal til at lytte på et netkort - er ret sikker på
> i har folk der laver det nummer.

Sandt. I den sidste halve time har der været 6 ARP-pakker per sekund i
snit, en vis andel nok fra virus. Ikke noget der kan få mig op af stolen.
Måske det kommer lidt i perioder. NetBIOS og venner støjer næsten lige
så meget.

--
Morten Bakkedal
http://www.bakkeland.dk/

---

Morten Bakkedal <nobody@bakkeland.dk> wrote in
news:pan.2004.08.15.19.24.59.527810@bakkeland.dk

>> Det er ikke så meget båndbredden men mere pakkeraten der et
>> problem. Når de er igang står de gerne for 70-90% af pakkerne
>> på et netkort.

> Men hvis det kun er et par pakker per sekund, er det vel ikke
> noget stort problem i sig selv?

>> Prøv at sætte Ethereal til at lytte på et netkort - er ret
>> sikker på i har folk der laver det nummer.

> Sandt. I den sidste halve time har der været 6 ARP-pakker per
> sekund i snit, en vis andel nok fra virus. Ikke noget der kan få
> mig op af stolen. Måske det kommer lidt i perioder. NetBIOS og
> venner støjer næsten lige så meget.

Så har du ikke ret meget - vi har maskiner på nettet der spytter
tusindvis af ARP request ud, f.eks. en der har udsendt 4913 ARP
requests (uden for den range af IPer der uddeles via DHCP) på 18 min
(dvs. 4½ i sekundet). At en enkelt host laver det trick kan man leve
med - men når 2 eller 3 gør på en gang begynder det at blive
annoying.

At der iøvrigt er et eller andet der til tider får trafikmængden
(målt i pakker pr sekund) til at stige til 40 gange det normale er
noget helt andet - det får gatewayen til at knække nakken :/

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

"Henrik Stidsen" <nospamforme@hs235.dk> skrev i en meddelelse
news:Xns95449AA705C06HS235dk@130.225.247.90...
> Det leder til mit spørgsmål - kan der være andre årsager end virus
> til at en PC ARP flooder et netværk ?

Trafiksniffere kan også skabe en del arp trafik. Måske der er nogen der
sidder og lytter lidt for meget på nettet?

Mvh
Anders

---

"Peter Pan" <.@anders.dk> wrote in
news:cfm4np$2dff$1@news.cybercity.dk

>> Det leder til mit spørgsmål - kan der være andre årsager end
>> virus til at en PC ARP flooder et netværk ?

> Trafiksniffere kan også skabe en del arp trafik. Måske der er
> nogen der sidder og lytter lidt for meget på nettet?

Det lyder ikke rigtigt i mine ører - hvorfor skulle de gøre det ?

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On 15 Aug 2004 18:14:53 GMT, Henrik Stidsen
<nospamforme@hs235.dk> wrote:

>> Trafiksniffere kan også skabe en del arp trafik. Måske der er
>> nogen der sidder og lytter lidt for meget på nettet?

> Det lyder ikke rigtigt i mine ører - hvorfor skulle de gøre det ?

Fixfaxerier med ARP (ARP poisoning og spoofing) er en måde at
sikre sig, at snifferen ser pakkerne.

http://tinyurl.com/6ey2h
http://tinyurl.com/3o49w

-A

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
news:jhavh0hj62jrkjb6l1asjvu7oiaol5k4g4@news.sunsite.dk

>>> Trafiksniffere kan også skabe en del arp trafik. Måske der er
>>> nogen der sidder og lytter lidt for meget på nettet?

>> Det lyder ikke rigtigt i mine ører - hvorfor skulle de gøre det
>> ?

> Fixfaxerier med ARP (ARP poisoning og spoofing) er en måde at
> sikre sig, at snifferen ser pakkerne.

Nå på den måde - det vil da så være SVAR på ARP requests, ikke
requests i sig selv den vil udsende ikke sandt ?

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On 15 Aug 2004 21:22:08 GMT, Henrik Stidsen
<nospamforme@hs235.dk> wrote:

>> Fixfaxerier med ARP (ARP poisoning og spoofing) er en måde at
>> sikre sig, at snifferen ser pakkerne.

> Nå på den måde - det vil da så være SVAR på ARP requests, ikke
> requests i sig selv den vil udsende ikke sandt ?

Nej, det behøver ikke kun være *svar* på ARP. Unsolicited ARP kan
bruges til at opdatere ens naboers ARP caches, uden at de selv
har bedt om det.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
news:p0ovh053h0ti7jhbla1mo3jbptiai1drbe@news.cybercity.dk

>> Nå på den måde - det vil da så være SVAR på ARP requests, ikke
>> requests i sig selv den vil udsende ikke sandt ?

> Nej, det behøver ikke kun være *svar* på ARP. Unsolicited ARP kan
> bruges til at opdatere ens naboers ARP caches, uden at de selv
> har bedt om det.

Forklar gerne hvordan det skulle virke - jeg synes ikke en google
søgning giver noget specielt brugbart.

Vi får en masse "Who has xxx.xxx.xxx.xxx ? Tell yyy.yyy.yyy.yyy"
pakker, jeg er ikke helt med på hvordan det skulle få nogen til at
opdatere med forkert data...

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On 16 Aug 2004 23:20:55 GMT, Henrik Stidsen
<nospamforme@hs235.dk> wrote:

>> Nej, det behøver ikke kun være *svar* på ARP. Unsolicited ARP kan
>> bruges til at opdatere ens naboers ARP caches, uden at de selv
>> har bedt om det.

> Forklar gerne hvordan det skulle virke - jeg synes ikke en google
> søgning giver noget specielt brugbart.

Hvordan unsolicited ARP virker?

Det er sådan set bare et almindeligt ARP reply, som ingen har
bedt om. Pointen er, at systemer der ser det, vil opdatere deres
ARP-cache, selvom de ikke selv stillede spørgsmålet.

Dermed kan man få trafik til at flyde forbi en selv ved at sende
unsolicited ARP, og derfor bruges det nogle gange af (lad os
kalde dem) sniffer-tools.

Mht. Google-søgningen, kan du også prøve at søge på Gratuitous
ARP, for det kaldes det også.

> Vi får en masse "Who has xxx.xxx.xxx.xxx ? Tell yyy.yyy.yyy.yyy"
> pakker, jeg er ikke helt med på hvordan det skulle få nogen til at
> opdatere med forkert data...

Jeg forholdt mig ikke til den aktuelle trafik, som du oplever.
Anders skrev, at sniffer-tools kan skabe en del ARP-traffik.
Du spurgte hvordan.
Jeg svarede.


I øvrigt: Noget netværksudstyr (switche) kan sikre mod den slags,
altså sådan at maskiner ikke sender ARP-trafik, de ikke har grund
til at sende, eller bruger MAC- eller IP-adresser, de ikke har en
god grund til at bruge.

-A

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
news:4ka3i059cbulset5fjlctmigu803cb6i2f@news.sunsite.dk

>> Forklar gerne hvordan det skulle virke - jeg synes ikke en
>> google søgning giver noget specielt brugbart.

> Hvordan unsolicited ARP virker?

> Det er sådan set bare et almindeligt ARP reply, som ingen har
> bedt om. Pointen er, at systemer der ser det, vil opdatere deres
> ARP-cache, selvom de ikke selv stillede spørgsmålet.

Ok - så er det jo heller ikke ARP *REQUEST* der udsenders men ARP
REPLY. Og det er ARP REQUEST der udsendes på vores netværk.

>> Vi får en masse "Who has xxx.xxx.xxx.xxx ? Tell
>> yyy.yyy.yyy.yyy" pakker, jeg er ikke helt med på hvordan det
>> skulle få nogen til at opdatere med forkert data...

> Jeg forholdt mig ikke til den aktuelle trafik, som du oplever.
> Anders skrev, at sniffer-tools kan skabe en del ARP-traffik.
> Du spurgte hvordan.
> Jeg svarede.

Det er jeg klar over ja, intet ondt om dig. Men er vi enige om at når
et netværk oversvømmes af ARP requests så er det *ikke* ARP poisoning
og lign. der foregår ?

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)