ich habe nun schon etliche Informationen bezüglich meines Problems gewälzt aber ich komme nicht weiter. Ich hoffe hier eine adäquate Lösung in "gemeinschaftlicher" Zusammenarbeit zu finden.
Folgendes Szenario:
Mein Root Server steht bei Hetzner. Dort habe ich eine main IP (78.xx.xx.246) und 5 weitere in einem untergeordneten Segment welche als Virtuelle Karten auf eth0 gemappt sind. Seit kurzen jedoch macht mein Server (?) kontinuierliche ARP Requests, die ich nicht kontrollieren kann. Auf meinem Server habe ich ein VMWare Server laufen mit 3 Instanzen, die über VMNAT und HostOnly Netzwerk bedient werden und ein Forwarding laut Hetzner wiki eingestellt wurde (iptables nat). Das NAT Netz ist von einer ISA Firewall als Gateway abgesichert welches die Services zu den einzelnen Maschinen in das HostOnly Netz (vmnet1) weiterleitet. aus dem Netz kommt kein ARP request in das eigentliche Hetzner Netz, nur innerhalb des HostOnly Netzes werden gewöhnliche ARPs gesendet.
Hier ein Auszug aus meiner Netzkonfiguration:
Code: Select all
:~# ifconfig -a
eth0 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.xx.246 Bcast:78.xx.xx.255 Maske:255.255.255.224
eth0:1 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.yy.177 Bcast:78.xx.yy.183 Maske:255.255.255.248
eth0:2-6
…
vmnet1 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:01
inet Adresse:192.168.223.1 Bcast:192.168.223.255 Maske:255.255.255.0
vmnet8 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:08
inet Adresse:172.16.96.1 Bcast:172.16.96.255 Maske:255.255.255.0
Code: Select all
:~# route –n
78.xx.xx.176 0.0.0.0 255.255.255.248 U 0 0 0 eth0
78.xx.yy.224 78.yy.yy.225 255.255.255.224 UG 0 0 0 eth0
78.xx.yy.224 0.0.0.0 255.255.255.224 U 0 0 0 eth0
172.16.96.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet8
192.168.223.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet1
0.0.0.0 78.yy.yy.225 0.0.0.0 UG 0 0 0 eth0
Die folgende ARP Anfragen werden innerhalb 30 Sekunden fortlaufend auf meine main IP Abgesetzt. Die Adresse mit der 225 ist der Router an dem ich angebunden bin (Gateway). Die Anfragen werden also im gleichen Segment angefordert. Dies führt nun bei Hetzner dazu, dass meine IP aufgrund dessen gesperrt wurde (Filter im Router) und so die arp requests nicht mehr bearbeitet werden können.
Code: Select all
:~# arpon --sniff-arp
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.228 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.230 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.234 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.235 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.xx.xx.246 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] <- Arp reply 78.xx.xx.246 is-at (0:1d:xx:xx:cd:82)
[11/16/2008 - 21:39:14 CET] Arp packets stats:
[11/16/2008 - 21:39:14 CET] Received "Arp Total": 92
[11/16/2008 - 21:39:14 CET] Received "Arp Request": 68
[11/16/2008 - 21:39:14 CET] Received "Arp Reply": 24
Code: Select all
eth0 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.xx.246 Bcast:78.xx.xx.255 Maske:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:215985 errors:0 dropped:0 overruns:0 frame:0
TX packets:247251 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:92953000 (88.6 MiB) TX bytes:106862850 (101.9 MiB)
Interrupt:209 Basisadresse:0xe000
Code: Select all
Tue Dec 16 21:45:25 2008; ******** LAN traffic monitor started ********
*** LAN traffic log, generated Tue Dec 16 21:47:58 2008
Ethernet address: ffffffffffff
Incoming total 15 packets, 690 bytes; 0 IP packets
Outgoing total 0 packets, 0 bytes; 0 IP packets
Average rates: 0.03 kbits/s incoming, 0.00 kbits/s outgoing
Last 5-second rates: 0.00 kbits/s incoming, 0.00 kbits/s outgoing
Gruß fgro
Nachtrag: Ich bin der Meinung das auf meine IP Addresse ein ARP Request angefordert wird und ich in dem Fall gespoofed werde? Oder sehe ich das falsch???