ARP Requests / ARP Spoofing ???
Posted: 2008-12-16 22:30
Hallo,
ich habe nun schon etliche Informationen bezüglich meines Problems gewälzt aber ich komme nicht weiter. Ich hoffe hier eine adäquate Lösung in "gemeinschaftlicher" Zusammenarbeit zu finden.
Folgendes Szenario:
Mein Root Server steht bei Hetzner. Dort habe ich eine main IP (78.xx.xx.246) und 5 weitere in einem untergeordneten Segment welche als Virtuelle Karten auf eth0 gemappt sind. Seit kurzen jedoch macht mein Server (?) kontinuierliche ARP Requests, die ich nicht kontrollieren kann. Auf meinem Server habe ich ein VMWare Server laufen mit 3 Instanzen, die über VMNAT und HostOnly Netzwerk bedient werden und ein Forwarding laut Hetzner wiki eingestellt wurde (iptables nat). Das NAT Netz ist von einer ISA Firewall als Gateway abgesichert welches die Services zu den einzelnen Maschinen in das HostOnly Netz (vmnet1) weiterleitet. aus dem Netz kommt kein ARP request in das eigentliche Hetzner Netz, nur innerhalb des HostOnly Netzes werden gewöhnliche ARPs gesendet.
Hier ein Auszug aus meiner Netzkonfiguration:
Meine Route ist so definiert (Hetzner konfig)
Was habe ich bisher gemacht? Auf meinem System läuft ein VMWare Server der von mir bezüglich einer Checkpoint Firewall Integration auf bridged mode umgeswitcht wurde und die main IP wurde der Checkpoint auf eth0 zugewiesen (manuell). Dann habe ich die Checkpoint wieder entfernt und den bridge mode zurückgesetzt. Wohlbemerkt, erst seitdem tritt das ARP Problem auf. Kann es sein, dass die Checkpoint Firewall eine MAC Adresse finden wollte, die es nicht gibt? Da ich keine Ahnung von der FW habe, habe ich diese auch wieder deinstalliert, bzw. vom System entfernt. Was bleibt? Ich bin mir nicht sicher ob es daran Überhaupt gelegen hat, aber das ARP Problem exisitiert erst seit dem. Im Zusammenhang zu diesem Problem war ein Netzteilausfall und den damit verbundenen Ausfall des kompletten Systems. Da ich Zeitlich es nicht mehr rekonstruieren kann was wann passiert ist, fehlt mir auch eine Zuordnung zu dem was meine Tätigkeit verbunden mit dem ARP Problem betrifft. Seitdem der Server nach dem Ausfall wieder Online ist werden nun die ARP Requests für mich auch erst Sichtbar.
Die folgende ARP Anfragen werden innerhalb 30 Sekunden fortlaufend auf meine main IP Abgesetzt. Die Adresse mit der 225 ist der Router an dem ich angebunden bin (Gateway). Die Anfragen werden also im gleichen Segment angefordert. Dies führt nun bei Hetzner dazu, dass meine IP aufgrund dessen gesperrt wurde (Filter im Router) und so die arp requests nicht mehr bearbeitet werden können.
Meine Netzwerkkonfig sieht so aus:
IPTRAF zeigt mir aber auch eine MAC Addresse die nicht meinem System gehört:
Über jede Hilfe bin ich dankbar.
Gruß fgro
Nachtrag: Ich bin der Meinung das auf meine IP Addresse ein ARP Request angefordert wird und ich in dem Fall gespoofed werde? Oder sehe ich das falsch???
ich habe nun schon etliche Informationen bezüglich meines Problems gewälzt aber ich komme nicht weiter. Ich hoffe hier eine adäquate Lösung in "gemeinschaftlicher" Zusammenarbeit zu finden.
Folgendes Szenario:
Mein Root Server steht bei Hetzner. Dort habe ich eine main IP (78.xx.xx.246) und 5 weitere in einem untergeordneten Segment welche als Virtuelle Karten auf eth0 gemappt sind. Seit kurzen jedoch macht mein Server (?) kontinuierliche ARP Requests, die ich nicht kontrollieren kann. Auf meinem Server habe ich ein VMWare Server laufen mit 3 Instanzen, die über VMNAT und HostOnly Netzwerk bedient werden und ein Forwarding laut Hetzner wiki eingestellt wurde (iptables nat). Das NAT Netz ist von einer ISA Firewall als Gateway abgesichert welches die Services zu den einzelnen Maschinen in das HostOnly Netz (vmnet1) weiterleitet. aus dem Netz kommt kein ARP request in das eigentliche Hetzner Netz, nur innerhalb des HostOnly Netzes werden gewöhnliche ARPs gesendet.
Hier ein Auszug aus meiner Netzkonfiguration:
Code: Select all
:~# ifconfig -a
eth0 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.xx.246 Bcast:78.xx.xx.255 Maske:255.255.255.224
eth0:1 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.yy.177 Bcast:78.xx.yy.183 Maske:255.255.255.248
eth0:2-6
…
vmnet1 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:01
inet Adresse:192.168.223.1 Bcast:192.168.223.255 Maske:255.255.255.0
vmnet8 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:08
inet Adresse:172.16.96.1 Bcast:172.16.96.255 Maske:255.255.255.0
Code: Select all
:~# route –n
78.xx.xx.176 0.0.0.0 255.255.255.248 U 0 0 0 eth0
78.xx.yy.224 78.yy.yy.225 255.255.255.224 UG 0 0 0 eth0
78.xx.yy.224 0.0.0.0 255.255.255.224 U 0 0 0 eth0
172.16.96.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet8
192.168.223.0 0.0.0.0 255.255.255.0 U 0 0 0 vmnet1
0.0.0.0 78.yy.yy.225 0.0.0.0 UG 0 0 0 eth0
Die folgende ARP Anfragen werden innerhalb 30 Sekunden fortlaufend auf meine main IP Abgesetzt. Die Adresse mit der 225 ist der Router an dem ich angebunden bin (Gateway). Die Anfragen werden also im gleichen Segment angefordert. Dies führt nun bei Hetzner dazu, dass meine IP aufgrund dessen gesperrt wurde (Filter im Router) und so die arp requests nicht mehr bearbeitet werden können.
Code: Select all
:~# arpon --sniff-arp
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.228 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.230 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.234 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.yy.yy.235 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] -> Arp who-has 78.xx.xx.246 (0:0:0:0:0:0) tell 78.xx.xx.225 (0:2:yy:yy:90:80)
[11/16/2008 - 21:35:29 CET] <- Arp reply 78.xx.xx.246 is-at (0:1d:xx:xx:cd:82)
[11/16/2008 - 21:39:14 CET] Arp packets stats:
[11/16/2008 - 21:39:14 CET] Received "Arp Total": 92
[11/16/2008 - 21:39:14 CET] Received "Arp Request": 68
[11/16/2008 - 21:39:14 CET] Received "Arp Reply": 24
Code: Select all
eth0 Protokoll:Ethernet Hardware Adresse 00:1D:xx:xx:CD:82
inet Adresse:78.xx.xx.246 Bcast:78.xx.xx.255 Maske:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:215985 errors:0 dropped:0 overruns:0 frame:0
TX packets:247251 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:92953000 (88.6 MiB) TX bytes:106862850 (101.9 MiB)
Interrupt:209 Basisadresse:0xe000
Code: Select all
Tue Dec 16 21:45:25 2008; ******** LAN traffic monitor started ********
*** LAN traffic log, generated Tue Dec 16 21:47:58 2008
Ethernet address: ffffffffffff
Incoming total 15 packets, 690 bytes; 0 IP packets
Outgoing total 0 packets, 0 bytes; 0 IP packets
Average rates: 0.03 kbits/s incoming, 0.00 kbits/s outgoing
Last 5-second rates: 0.00 kbits/s incoming, 0.00 kbits/s outgoing
Gruß fgro
Nachtrag: Ich bin der Meinung das auf meine IP Addresse ein ARP Request angefordert wird und ich in dem Fall gespoofed werde? Oder sehe ich das falsch???