[ITNOG] R: (fwd) Arp request flooding su linea adsl telecom

Scassellati Gianpaolo Gianpaolo.Scassellati@Mail.Wind.it
Ven 19 Giu 2009 09:29:14 CEST


Che abbia il wifi aperto? 

Gp 

-----Messaggio originale-----
Da: itnog-bounces@lists.itnog.it [mailto:itnog-bounces@lists.itnog.it] Per conto di Marco d'Itri
Inviato: mercoledì 17 giugno 2009 0.23
A: itnog@lists.itnog.it
Oggetto: [ITNOG] (fwd) Arp request flooding su linea adsl telecom

Interessante... Supponiamo pure che sia connesso a un DSLAM ethernet, ma avevo capito che Telecom filtra gli ethertype lasciando passare solo quelli di PPPoE.
Errore di configurazione? Qualcuno ha idee migliori?

Con l'occasione vi comunico che è attivo un www.itnog.it minimalista, in attesa di ricevere link e di contenuto di qualche genere.
Chi vuole collaborare sa dove trovarmi...


-- forwarded message --
From: normef <normef@no-spammmami.neet>
Newsgroups: it.comp.reti.ip-admin
Subject: Arp request flooding su linea adsl telecom
Date: Tue, 16 Jun 2009 14:55:43 +0000 (UTC)
Message-ID: <h18bpf$93h$1@aioe.org>

Saluti a tutti.

Mi connetto ad internet in maniera abbastanza comune:
Il mio computer è connesso ad un modem adsl in modalità bridge sulla rete di telecom alice.
Quindi mi connetto ad internet tramite
un collegamento pppoe.


(questo è lo schemino della situazione, spero si capisca)


|Linux| eth0                |Modem | linea tel adsl T
|     | ------------------- |  in  |--------------->E
|BOX  | 10.0.0.x   10.0.0.y |Bridge| ,------------->L
|     |                   ,----------'              E
|     | ppp0              |                         C
|     | ------------------'                         O
        IP publico dinamico                         M


Oggi ho lasciato acceso il pc acceso, senza generare alcuna attività di rete, quando i led sul modem, sia quello dell'adsl che quello della lan hanno incominciato a segnalare attività.
La cosa mi ha insospettito.
Ho verificato tramite netstat che non avevo connessioni di rete aperte da alcun programma, inoltre ho verificato tramite /proc/net/dev che non era il mio pc a trasmettere dati.
Provando ad aprire alcune pagine, mi sono reso conto che la navigazione si era rallentata di molto.

Ancora più insospettito ho usato tcpdump per catturare il traffico di rete che giungeva all'iterfaccia di rete del mio pc e salvarlo in un file.
Con mia sorpresa ho scoperto che l'eth0 del mio pc veniva inondata da arp request ad una frequenza di 400/sec:

Who as 10.0.0.y? Tell 10.0.0.x

tutti pacchetti in broadcast identici, che giungevano da un mac address che non era ne quello dell'interfaccia eth0 del mio pc ne quello del modem.

Ho interrotto la connessione ppp, ma il fenomeno continuava a sussistere.
Ho spento e riacceso il modem, ma dopo essersi ri-sincronizzato col segnale adsl sono tornato ad essere ri-inondato di arp request alcuni secondi dopo.
Ho spento e riacceso il modem per una seconda volta, ma si è ripetuto lo stesso fenomeno, quindi l'ho tenuto spento per circa mezz'ora ed al suo riavvio il fenomeno non si è più ripresentato.

Le domande che mi pongo sono:
1) Sono stato vittima di un attacco o di un malfunzionamento di qualcosa della telecom?
2) Da dove arrivano i pacchetti arp request se il mac address di origine non è ne del mio pc ne quello del modem e sono diretti in broadcast?

Ho letto qualcosa sulle reti, quel tanto che basta per sistemare i pc di casa mia, ma non sono un esperto. Ringrazio tutti coloro che mi aiuteranno a venire a capo della faccenda.

Grazie



--
-- http://normefia.altervista.org --
-- end of forwarded message --

--
ciao,
Marco

----- End forwarded message -----

--
Mailing list info: http://lists.itnog.it/listinfo/itnog


Le informazioni contenute in questo messaggio di posta elettronica e in ogni
eventuale documento allegato sono riservate, potrebbero essere coperte dal
segreto professionale e possono essere utilizzate esclusivamente dal
destinatario sopra indicato. Ogni divulgazione o copia di questo messaggio o
dei suoi eventuali allegati non autorizzata, cosi' come ogni uso o
divulgazione delle informazioni negli stessi contenute, sono da considerarsi
come vietate e potrebbero costituire violazione delle normative ivi
applicabili.  Se ricevete questo messaggio per errore Vi preghiamo di
volerci avvertire immediatamente tramite posta elettronica o telefonicamente
e di cancellare il presente messaggio e ogni documento ad esso allegato dal
Vostro sistema. Vi informiamo che svolgiamo ogni attivita' finalizzata a
proteggere la nostra rete da virus e non ci assumiamo alcuna responsabilita'
in ordine a possibili virus che possano essere trasferiti con la presente mail.
Grazie.

*****************

The information contained in this e-mail and in any file transmitted with it
is confidential and may be privileged for the sole use of the designated
addressee. Any unauthorized dissemination or copying of this e-mail or its
attachments, and any use or disclosure of any information contained in them,
is strictly prohibited and may be illegal. If you are not the designated
addressee, please notify the sender immediately by e-mail or by telephone
and delete this e-mail and any file transmitted with it from your system.
We make every effort to keep our network free from viruses and take no
responsibility for any computer virus which might be transferred by way of this
e-mail.
Thank you.



Maggiori informazioni sulla lista itnog