Windows XP Home phát hành khoảng 20 ARP yêu cầu thứ hai

Tôi đã được yêu cầu sửa từ xa máy tính của một thành viên trong gia đình đang chạy "chậm". Tôi đã cho họ chạy bất kỳ số lần quét S & D và AVG nào, ngay cả ở chế độ an toàn, nhưng họ không tìm thấy gì đáng quan tâm. Khi sử dụng Hỗ trợ từ xa để chọc ngoáy, tôi đã cài đặt Wireshark và phát hiện ra rằng hộp đang phát ra tới 20 yêu cầu ARP mỗi giây, chủ yếu là cho mạng con cục bộ của nó (kết nối trực tiếp với modem cáp WebSTAR 2000) như trong hình bên dưới.

Địa chỉ IP tại thời điểm đó là 70.119.184.xx / 255.255.240.0. Cổng mặc định là 70.119.176.1 và máy chủ DHCP là 10.212.0.1.

Có thể đây là lưu lượng truy cập hợp pháp hay đây là triệu chứng của một con sâu như WootBot đang cố gắng lây lan?

EDIT: Tôi nghĩ rằng máy bị nhiễm Trojan.Opachki hoặc một cái gì đó rất giống nó.

EDIT: Lưu lượng ARP thực sự có nguồn gốc ở nơi khác vì vậy nó không phải là vấn đề với máy đang được đề cập. Có dấu hiệu nhiễm trùng Opachki nhưng tôi nghĩ điều đó đã được làm rõ. Tôi sẽ đặt anh ấy xuống cho một bộ định tuyến vào Giáng sinh tới.

Không phải là một bên pooper, nhưng kích thước của mạng con không liên quan đến số lượng phát sóng ARP mỗi giây. Chỉ vì một mạng con đủ lớn cho x số lượng máy chủ không có nghĩa là máy chủ sẽ ARP cho x số lượng địa chỉ IP trong mạng con đó. Một máy chủ gửi một gói ARP khi nó cần gửi một gói đến một máy chủ khác. Lần duy nhất máy chủ sẽ ARP cho x số lượng địa chỉ ip trong mạng con của nó (hoặc một số lượng lớn địa chỉ IP trong mạng con của nó) là nếu nó quét phạm vi địa chỉ IP cho mạng con của nó (sử dụng chương trình quét IP), nó bị nhiễm phần mềm độc hại hoặc có trình điều khiển NIC hoặc NIC bị lỗi. Không có lúc nào khác, một máy chủ thường gửi một số lượng lớn các gói ARP như những gì bạn đang thấy. Ngoài ra, một máy chủ sẽ không gửi gói ARP cho địa chỉ IP không có trên đó '

Bạn có 5 máy chủ gửi các gói ARP trên mạng:

10.212.0.1 - Điều này có vẻ bình thường. Đây là cổng mặc định và chỉ có một gói ARP trong ảnh chụp màn hình của bạn. Cổng mặc định sẽ gửi các gói ARP vào mạng khi cần truyền lưu lượng đến máy chủ nội bộ và địa chỉ MAC của máy chủ đó không nằm trong bộ đệm ARP của nó (giống như mọi thiết bị mạng khác).

24.170.135.1 - Tôi không hiểu điều này. Đây là một địa chỉ IP không phải địa phương. Nó từ đâu tới? Bạn có nhiều mạng nối với nhau không? Có bất kỳ máy tính nào có nhiều NIC được kết nối với nhiều mạng hoặc nhiều kết nối, chẳng hạn như kết nối VPN, v.v.

24.233.137.1 - Một lần nữa, đây là một địa chỉ ip không cục bộ.

70.119.248.1 - Điều này có lẽ là bình thường, mặc dù địa chỉ IP mà ARP'ing cho có vẻ hơi lạc lõng. Chúng nằm trong cùng một mạng con nhưng khác xa với những gì tôi sẽ xem xét về sơ đồ địa chỉ IP thông thường.

70.119.176.1 - Đây là điều khiến tôi lo lắng vì đây là nơi gửi phần lớn các gói ARP. Tôi nghi ngờ rằng cái này đang thực hiện quét mạng con cho tất cả các địa chỉ ip trong mạng con, nó bị nhiễm phần mềm độc hại hoặc nó có trình điều khiển NIC hoặc NIC xấu.

Lũ ARP (đó là điều tôi tin rằng bạn đang đối phó) không phải là điều kiện bình thường trong mạng. Phát sóng ARP vượt quá khoảng 3 -5% tổng lưu lượng truy cập mạng là một dấu hiệu rất tốt cho thấy có gì đó không đúng.

CHỈNH SỬA

Sau khi đọc lại câu hỏi của bạn với các chỉnh sửa gần đây, tôi có ý kiến ​​khác về những gì đang diễn ra: nếu 70.119.176.1 là cổng mặc định cho mạng và đó là một trong những gửi yêu cầu ARP cho các địa chỉ trong mạng con, sau đó tôi nghĩ rằng ai đó bên ngoài bạn đang thực hiện quét địa chỉ IP \ port quét vào mạng của bạn và tường lửa của bạn không chặn nó. Đối với mỗi địa chỉ IP đang được thăm dò, cổng mặc định của bạn đang gửi yêu cầu ARP để thử và tìm máy chủ lưu trữ trên địa chỉ IP đang được thăm dò. Tường lửa, bộ định tuyến hoặc modem của bạn có nhật ký mà bạn có thể xem không?

Tôi vẫn không hiểu địa chỉ 24.xxx đến từ đâu.

Vâng, với máy tính được kết nối trực tiếp với modem cáp, bạn sẽ có nhiều tiếng ồn xung quanh. Đặc biệt là trên một miền phát sóng có tỷ lệ / 20 có thể hỗ trợ khoảng 4,1k máy chủ. Tôi không quen với modem này, USB có phải là lựa chọn duy nhất để kết nối nó với máy chủ / mạng cục bộ không?

Tôi luôn khuyên bạn nên đặt bộ định tuyến ở giữa mạng và kết nối băng thông rộng. Ngay cả khi mạng bao gồm một máy tính duy nhất. NAT sẽ loại bỏ bất kỳ lưu lượng không mong muốn nào sẽ hoạt động hiệu quả như một tường lửa giữ cho sâu không thể truy cập trực tiếp vào máy tính. Điều này đặc biệt quan trọng khi bạn nói về PC Windows.

20 ARP Mỗi giây chắc chắn nằm trong phạm vi nhiễu nền bình thường cho mạng con / 20. Tôi cho rằng nó không cao hơn. Nói chung, các yêu cầu ARP không phải là dấu hiệu của một con sâu đang cố gắng lây lan. Bạn biết chỉ đủ để trở thành kẻ nguy hiểm nhưng chưa đủ để biết cách xem lưu lượng truy cập mạng. Giữ nó và tiếp tục đặt câu hỏi bạn sẽ hiểu rõ hơn để sử dụng thực sự của bộ công cụ của bạn.