ARP Requests / ARP Spoofing ???

Alles rund um Netzwerktechnik und Protokolle
fgro
Posts: 6
Joined: 2007-09-18 23:25

ARP Requests / ARP Spoofing ???

Post by fgro »

Hallo,

ich habe nun schon etliche Informationen bezüglich meines Problems gewälzt aber ich komme nicht weiter. Ich hoffe hier eine adäquate Lösung in "gemeinschaftlicher" Zusammenarbeit zu finden.

Folgendes Szenario:

Mein Root Server steht bei Hetzner. Dort habe ich eine main IP (78.xx.xx.246) und 5 weitere in einem untergeordneten Segment welche als Virtuelle Karten auf eth0 gemappt sind. Seit kurzen jedoch macht mein Server (?) kontinuierliche ARP Requests, die ich nicht kontrollieren kann. Auf meinem Server habe ich ein VMWare Server laufen mit 3 Instanzen, die über VMNAT und HostOnly Netzwerk bedient werden und ein Forwarding laut Hetzner wiki eingestellt wurde (iptables nat). Das NAT Netz ist von einer ISA Firewall als Gateway abgesichert welches die Services zu den einzelnen Maschinen in das HostOnly Netz (vmnet1) weiterleitet. aus dem Netz kommt kein ARP request in das eigentliche Hetzner Netz, nur innerhalb des HostOnly Netzes werden gewöhnliche ARPs gesendet.
Hier ein Auszug aus meiner Netzkonfiguration:

Code: Select all

:~# ifconfig -a

eth0      Protokoll:Ethernet  Hardware Adresse 00:1D:xx:xx:CD:82
          inet Adresse:78.xx.xx.246  Bcast:78.xx.xx.255  Maske:255.255.255.224

eth0:1    Protokoll:Ethernet  Hardware Adresse 00:1D:xx:xx:CD:82
          inet Adresse:78.xx.yy.177  Bcast:78.xx.yy.183  Maske:255.255.255.248

eth0:2-6
…

vmnet1    Protokoll:Ethernet  Hardware Adresse 00:50:56:C0:00:01
          inet Adresse:192.168.223.1  Bcast:192.168.223.255  Maske:255.255.255.0
          
vmnet8    Protokoll:Ethernet  Hardware Adresse 00:50:56:C0:00:08
          inet Adresse:172.16.96.1  Bcast:172.16.96.255  Maske:255.255.255.0
Meine Route ist so definiert (Hetzner konfig)

Code: Select all

:~# route –n

78.xx.xx.176    0.0.0.0         255.255.255.248 U     0      0        0 eth0
78.xx.yy.224    78.yy.yy.225    255.255.255.224 UG    0      0        0 eth0
78.xx.yy.224    0.0.0.0         255.255.255.224 U     0      0        0 eth0
172.16.96.0     0.0.0.0         255.255.255.0   U     0      0        0 vmnet8
192.168.223.0   0.0.0.0         255.255.255.0   U     0      0        0 vmnet1
0.0.0.0         78.yy.yy.225    0.0.0.0         UG    0      0        0 eth0
Was habe ich bisher gemacht? Auf meinem System läuft ein VMWare Server der von mir bezüglich einer Checkpoint Firewall Integration auf bridged mode umgeswitcht wurde und die main IP wurde der Checkpoint auf eth0 zugewiesen (manuell). Dann habe ich die Checkpoint wieder entfernt und den bridge mode zurückgesetzt. Wohlbemerkt, erst seitdem tritt das ARP Problem auf. Kann es sein, dass die Checkpoint Firewall eine MAC Adresse finden wollte, die es nicht gibt? Da ich keine Ahnung von der FW habe, habe ich diese auch wieder deinstalliert, bzw. vom System entfernt. Was bleibt? Ich bin mir nicht sicher ob es daran Überhaupt gelegen hat, aber das ARP Problem exisitiert erst seit dem. Im Zusammenhang zu diesem Problem war ein Netzteilausfall und den damit verbundenen Ausfall des kompletten Systems. Da ich Zeitlich es nicht mehr rekonstruieren kann was wann passiert ist, fehlt mir auch eine Zuordnung zu dem was meine Tätigkeit verbunden mit dem ARP Problem betrifft. Seitdem der Server nach dem Ausfall wieder Online ist werden nun die ARP Requests für mich auch erst Sichtbar.

Die folgende ARP Anfragen werden innerhalb 30 Sekunden fortlaufend auf meine main IP Abgesetzt. Die Adresse mit der 225 ist der Router an dem ich angebunden bin (Gateway). Die Anfragen werden also im gleichen Segment angefordert. Dies führt nun bei Hetzner dazu, dass meine IP aufgrund dessen gesperrt wurde (Filter im Router) und so die arp requests nicht mehr bearbeitet werden können.

Code: Select all

:~# arpon --sniff-arp

[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.228 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.230 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.234 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.235 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.xx.xx.246 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] <- Arp reply 78.xx.xx.246 is-at (0:1d:xx:xx:cd:82)

[11/16/2008 - 21:39:14 CET] Arp packets stats:
[11/16/2008 - 21:39:14 CET] Received "Arp Total": 92
[11/16/2008 - 21:39:14 CET] Received "Arp Request": 68
  [11/16/2008 - 21:39:14 CET] Received "Arp Reply": 24
Meine Netzwerkkonfig sieht so aus:

Code: Select all

eth0    Protokoll:Ethernet  Hardware Adresse 00:1D:xx:xx:CD:82
          inet Adresse:78.xx.xx.246  Bcast:78.xx.xx.255  Maske:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:215985 errors:0 dropped:0 overruns:0 frame:0
          TX packets:247251 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:92953000 (88.6 MiB)  TX bytes:106862850 (101.9 MiB)
          Interrupt:209 Basisadresse:0xe000
IPTRAF zeigt mir aber auch eine MAC Addresse die nicht meinem System gehört:

Code: Select all

Tue Dec 16 21:45:25 2008; ******** LAN traffic monitor started ********

*** LAN traffic log, generated Tue Dec 16 21:47:58 2008
Ethernet address: ffffffffffff
        Incoming total 15 packets, 690 bytes; 0 IP packets
        Outgoing total 0 packets, 0 bytes; 0 IP packets
        Average rates: 0.03 kbits/s incoming, 0.00 kbits/s outgoing
        Last 5-second rates: 0.00 kbits/s incoming, 0.00 kbits/s outgoing
Über jede Hilfe bin ich dankbar.

Gruß fgro

Nachtrag: Ich bin der Meinung das auf meine IP Addresse ein ARP Request angefordert wird und ich in dem Fall gespoofed werde? Oder sehe ich das falsch???