Огромное количество запросов Who has в wireshark?

Question

[test2235]

Постоянно в wireshark создается куча ARP запросов. Источник ZyxelCom (это походу мой роутер), Destination - Broadcast (это походу широковещательный). И пошли запросы Who has 192.168.1.1 Tell 192.168.1.1 Who has 192.168.1.2 Tell 192.168.1.1 ... и так до Who has 192.168.1.254 и потом по новой. Почему так?

Comments

[test2235]

Я закрыл браузер, электронную почту, в общем ничего не работало, но трафик шел

Answer 1

[Максим Гришин]

Проверяйте роутер - кто-то попытался просканировать внутреннюю сеть с него (если сам роутер этого раньше не делал). Возможно, что его взломали или подобрали пароль.

Comments

[test2235]

Он всегда так делает, каждый день) И кто может попытаться 192.168.1.1 - это же роутер сам и запрашивает

[Максим Гришин]

test2235, ну скрипт рассчитан на то, что у роутера может быть и другой IP, скажем, .250, поэтому сканит всю сеть. Все равно смотрите, что-то мне не нравится такое поведение роутера, не его это дело следить за тем, какие IP-адреса есть в локалке.

[test2235]

Максим Гришин, Смотрю в настройках роутера 192.168.1.1 / Keenetik Giga (Bridge) - скорее всего это все же его iP

Answer 2

[Gansterito]

Можно предложить три варианта:
1) Сам роутер Zyxel актуализирует список занятых устройств (включенных, например, мимо DHCP);
2) Кто-то за пределами роутера пытается "достучаться" до ваших внутренних адресов;
3) Кто-то изнутри роутера (а там внутри Linux со всем окружением + shell) пытается найти что-либо для своего дальнейшего "проникновения" и "закрепления" на вашей сети.

За последние пару дней слышал о какой-то аномальной активности абонентов с роутерами Zyxel, однако, подтверждения этому не было. На всякий случай отключите роутер от внешней сети, посмотрите на активность. Можно сбросить к заводским настройкам, обновить прошивку до последней и, не подключая к сети, проверить наличие who has запросов. Но это уже на любителя.

Comments

[test2235]

Даже кабель от интернета отключал, получается только локальная сеть - все равно ARP-запросы идут постоянно

[Gansterito]

Значит, второй пункт можно исключить.

Answer 3

[athacker]

Ребутни роутер. Если пакеты пропадут -- его ломанули. Обычно малварь перезагрузку не переживает, этого должно хватить. Но прошивку обновить нужно в любом случае, даже если ребут поможет, так как поможет он ненадолго :-)

Comments

[test2235]

Все обновлено, последняя прошивка

[athacker]

test2235, это хорошо. Но в случае домашних роутеров -- это не гарантия. Так что ребутнуть всё равно стоит попробовать.

[test2235]

athacker Да не, там все понятно, ничего страшного, просто постоянный arp скан, чтобы было понятно кто подключился-отключился. Особенность zyxel, может и на остальных то же самое, но на zyxel точно

[athacker]

test2235, я вот не уверен, что это особенность. Ни один роутер, с которым я сталкивался, так себя не вёл. А за два года работы в интернет-провайдере, как вы понимаете, повидать пришлось.

Так что это вряд ли легитимное поведение. Это либо какой-то баг, либо злонамеренная активность. Учитывая, что вы отключали кабель интернета, а поведение осталось, то остаются только вот эти два варианта. Нет никаких причин, чтобы роутер вёл себя подобным образом. Есть определённые сценарии для высокой ARP-активности (петля в сети, например), но там будут фигурировать запросы по 1-2-3 IP-адресам, но не перебираться в цикле все IP подсети.

[test2235]

athacker Так он и опрашивает только локальную сеть (интернет тут не причем был). И IP-адреса только локальные были. Т.о. можно определить кто подключился к сети или отключился

[athacker]

test2235, нашёл статейку. Не понимаю, зачем им это нужно вообще. Я бы выключил. Эфир почище будет, батарейка на мобильных устройствах целее....