[ITNOG] (fwd) Arp request flooding su linea adsl telecom

Marco d'Itri md@Linux.IT
Mer 17 Giu 2009 00:22:43 CEST 

Interessante... Supponiamo pure che sia connesso a un DSLAM ethernet, ma
avevo capito che Telecom filtra gli ethertype lasciando passare solo
quelli di PPPoE.
Errore di configurazione? Qualcuno ha idee migliori?

Con l'occasione vi comunico che è attivo un www.itnog.it minimalista, in
attesa di ricevere link e di contenuto di qualche genere.
Chi vuole collaborare sa dove trovarmi...


-- forwarded message --
From: normef <normef@no-spammmami.neet>
Newsgroups: it.comp.reti.ip-admin
Subject: Arp request flooding su linea adsl telecom
Date: Tue, 16 Jun 2009 14:55:43 +0000 (UTC)
Message-ID: <h18bpf$93h$1@aioe.org>

Saluti a tutti.

Mi connetto ad internet in maniera abbastanza comune:
Il mio computer è connesso ad un modem adsl
in modalità bridge sulla rete di telecom alice.
Quindi mi connetto ad internet tramite
un collegamento pppoe.


(questo è lo schemino della situazione, spero si capisca)


|Linux| eth0                |Modem | linea tel adsl T
|     | ------------------- |  in  |--------------->E
|BOX  | 10.0.0.x   10.0.0.y |Bridge| ,------------->L
|     |                   ,----------'              E
|     | ppp0              |                         C
|     | ------------------'                         O
        IP publico dinamico                         M


Oggi ho lasciato acceso il pc acceso, senza generare 
alcuna attività di rete, quando i led sul modem, sia 
quello dell'adsl che quello della lan hanno incominciato
a segnalare attività.
La cosa mi ha insospettito.
Ho verificato tramite netstat che non avevo connessioni di rete 
aperte da alcun programma, inoltre ho verificato tramite /proc/net/dev
che non era il mio pc a trasmettere dati.
Provando ad aprire alcune pagine, mi sono reso conto che la navigazione 
si era rallentata di molto.

Ancora più insospettito ho usato tcpdump per catturare il traffico di 
rete che 
giungeva all'iterfaccia di rete del mio pc e salvarlo in un file.
Con mia sorpresa ho scoperto che l'eth0 del mio pc veniva inondata da
arp request ad una frequenza di 400/sec:

Who as 10.0.0.y? Tell 10.0.0.x

tutti pacchetti in broadcast identici, che giungevano da un mac address 
che 
non era ne quello dell'interfaccia eth0 del mio pc ne quello del modem.

Ho interrotto la connessione ppp, ma il fenomeno continuava a sussistere.
Ho spento e riacceso il modem, ma dopo essersi ri-sincronizzato col 
segnale adsl 
sono tornato ad essere ri-inondato di arp request alcuni secondi dopo.
Ho spento e riacceso il modem per una seconda volta, ma si è ripetuto lo 
stesso 
fenomeno, quindi l'ho tenuto spento per circa mezz'ora ed al suo riavvio 
il 
fenomeno non si è più ripresentato.

Le domande che mi pongo sono:
1) Sono stato vittima di un attacco o di un malfunzionamento 
di qualcosa della telecom?
2) Da dove arrivano i pacchetti arp request se il mac address di origine 
non è ne
del mio pc ne quello del modem e sono diretti in broadcast?

Ho letto qualcosa sulle reti, quel tanto che basta per sistemare i pc di 
casa mia, 
ma non sono un esperto. Ringrazio tutti coloro che mi aiuteranno a venire 
a capo 
della faccenda.

Grazie



-- 
-- http://normefia.altervista.org --
-- end of forwarded message --

-- 
ciao,
Marco

----- End forwarded message -----

Maggiori informazioni sulla lista itnog