Zum Inhalt springen

Sehr viele ARP Requests im Netzwerktraffic


Empfohlene Beiträge

Geschrieben

Hallo liebe Forengemeinde,

ich beschäftige mich seit kurzen, wegen meiner neuen Ausbildung (FASI), intensiver mit dem Thema Netzwerke.

Desbezüglich habe ich mal Wiresharke installierte und knapp eine Minute laufen lassen.

Ich weiß schon das es im Netzwerk Broadcast anfragen gibt um IP-Adressen zu Rechnern, und anders herum, zuzuordnen.

Allerdings sehe ich hier über 150 ARP Request! (Und wie gesagt ich hab nur ca. eine Minute lauschen lassen.)

So sieht einer der Anfragen aus:

22	4.057247000	ExtremeN_3b:53:a0	Broadcast	ARP	60	Who has 10.14.61.52?  Tell 10.14.32.1

Kann mir jemand sagen wo diese Anfragen herkommen und wie man sie evtl. eindämmen kann? :rolleyes:

THX

Geschrieben

Ich bin ein Anfänger aber ich denke, dass die Aussage "ARP erfragt ja die MAC-Adresse anhand der IP-Adresse" falsch ist.IP-Adressierung erfolgt ja durch dir Routers...erst wenn ein lokales Netzwerk erreicht ist und der Switch keinen MAC-Eintrag in seiner Tabelle hat, wird das ARP an den Host gefloodet (und nicht gebroadcastet) und das erfolgt ja auf der L2 Ebene. Bitte korregiert mich wenn ich hier falsch liege.

Geschrieben

Meinst du dich will jemand hacken?^^ Sofern ich weiss 30 bis 40 % der Bandbreite werden nur durch die Protokolle "verunreinigt", also ich würde mich nicht wundern wenn du da in Wireshark 100 ARP Anfragen pro Sekunde bekommst.

Geschrieben
Meinst du dich will jemand hacken?^^ Sofern ich weiss 30 bis 40 % der Bandbreite werden nur durch die Protokolle "verunreinigt", also ich würde mich nicht wundern wenn du da in Wireshark 100 ARP Anfragen pro Sekunde bekommst.

Woher hast du diesen Wert, 30 - 40% ?

Quellen?

Grüße

Geschrieben
Ich bin ein Anfänger aber ich denke, dass die Aussage "ARP erfragt ja die MAC-Adresse anhand der IP-Adresse" falsch ist.IP-Adressierung erfolgt ja durch dir Routers...erst wenn ein lokales Netzwerk erreicht ist und der Switch keinen MAC-Eintrag in seiner Tabelle hat, wird das ARP an den Host gefloodet (und nicht gebroadcastet) und das erfolgt ja auf der L2 Ebene. Bitte korregiert mich wenn ich hier falsch liege.

IP-Adressen kannst du auch in einem Netzwerk ohne Router haben. Wenn PC_1 (192.168.1.1/24) zu PC_2 (192.168.1.2/24) Daten senden möchte, benötigt dieser die MAC Adr des Interfaces. Um diese zu Erfahren wir ein ARP abgesetzt in dem PC_1 fragt, wem die IP 192.168.1.2 gehört. Als Source wird die MAC Adr von PC_1 sowie die IP angegeben, als Destination die IP von PC_2 und die BC Mac FF:FF:FF:FF:FF:FF.

Somit geht dieser ARP Request an alle Geräte in dem Netz, also auch PC_2. Dieser sieht "hey, der sucht meine IP" und sagt PC_1 "Hey, die IP 192.168.1.2 ist meine! Meine MAC dazu ist DE:AD:BE:EF:12:34 und sendet das zurück an die MAC von PC_1.

Wenn dazwischen ein Switch hängt, speichert dieses die MAC Adr in der Mac Adress Table. Da gibt es dann die Zuordnung Port1 = MAC X, Port2 = MAC Y usw.. Allerdings speichert er nur eingehende Source MAC Adr. zu dem jeweiligen Port, da er nur hier sicher sein kann das die zuordnung stimmt.

So, ich hoffe das ist so korrekt und verständlich! Ansonsten möge man mich bitte korrigieren.

Grüße,

eneR

Geschrieben

Wird ARP Request nicht einfach von dem Switch gefloodet? D.h. an alle Hosts im lokalen Netzwerk geschickt, weil der Switch keine IP-Adressen kennt(es sei denn es wär ein L3 Switch) und sagt: "Hey Leute, ich schick das einfach an euch alle, weil ich ja nicht mit Layer3 arbeite,das macht mein Bruder Router und ich arbeite ja nur im Layer 2,deshalb schickt mir eure MAC-Adressen, eure IP-Adressen gehen mich nicht an "

Geschrieben

Verstehe ich jetzt was falsch?IP-Adressierung und Routing erfolgt im L3 durch die Routers...erst wenn IP-Packet das lokale Netzwerk erreicht hat sagt der Router: ok, mein Job ist erledigt, der Switch macht jetzt die ganze Drecksarbeit für mich weiter und verteilt alles im LAN nach dazugehörigen MAC-Adressen und wenn die MACs nicht bekannt sind dann sendet er die ARP-Anfrage auf seinem L2 Unterniveau.

Geschrieben

Ja, richtig. Die Kommunikation findet auf L2 statt.

Also du hast 2 PCs und ein Switch.

PC_1 (Port 1) hat Daten für PC_2 (Port 2), hat die MAC allerdings noch nicht in seiner ARP Table, hat also nur die IP. Also erst mal ein ARP in die Leitung blasen um eine Zuordnung von IP <-> MAC zu erhalten.

In dem Moment kommt ein Paket am Switch Port 1 an welches PC_1_SRC_MAC, PC_1_SRC_IP, BC_MAC, PC_2_DEST_IP enthält.

Nun weiß das Switch schon mal, Port 1 = MAC PC_1.

Das Paket wir dann wie du sagst an alle Ports geflooded. PC_2 erhält auch so ein Paket und findet seine IP in der Anfrage wieder, also antwortet er mit seiner MAC. Alle anderen PC´s droppen das Paket, da falsche IP.

Nun sendet PC_2 seine Antwort mit seiner MAC als SRC und der PC_1_MAC als Dest.

Nun weiß das Switch Port 2 = MAC PC_2 und schreibt es ebenfalls in seine Source Adress Table.

Das Paket wir nun direkt an Port 1 weitergeleitet, das Switch kennt PC_1 bzw. dessen MAC ja schon.

Der PC_1 hat nun ebenfalls alle Daten, die er braucht, füllt damit seine arp Table und kann nun die Nutzdaten zu PC_2 schicken.

Ich hoffe es wird so deutlich. Mit einem Whiteboard und 2 farbigen Stiften wäre es wohl in 3 Minuten erklärt.

  • 2 Wochen später...
Geschrieben

4.057247000 ExtremeN_3b:53:a0 Broadcast ARP 60 Who has 10.14.61.52? Tell 10.14.32.1

Unabhängig von der Frage, auf welchem Netzwerk-Layer sich ARP-Anfragen abspielen, sollte damit gesagt sein, woher die Anfragen kommen. Du solltest auf dem Rechner 10.14.32.1 mal verschiedene Dinge prüfen.

- Sind Subnet-Masken, Broadcast-Adressen etc. richtig gesetzt?

- gibt es die gleiche IP auf zwei Netzwerkkarten?

- Läuft ein Dienst, der für den ARP-Cache zuständig ist nicht oder ist so konfiguriert, dass die ARP-Einträge bereits nach wenigen Sekunden ungültig werden?

- Gibt es dort seltsame Einträge in den Logfilesß

Geschrieben

Gibt es Neuigkeiten? Mich würde eher interessieren wer der Client/Maschine 10.14.61.52 ist.. und ob ein reply kommt. GGf mal nmap zu Rate ziehen und/oder wie scon angesprochen einmal wireshark nutzen (Mirroring-Port auf Switch?).

Dein Log ist ja etwas dürftig...

Geschrieben
22 4.057247000 ExtremeN_3b:53:a0 Broadcast ARP 60 Who has 10.14.61.52? Tell 10.14.32.1

Das ist eine ganz normale ARP-Anfrage vom PC mit der IP-Adresse 10.14.32.1, der per Broadcast nachfragt, wer die IP-Adresse 10.14.61.52 hat.

Wer sich die Aufschlüsselung der Requests mal genauer anschauen mag, der kann z.B. einmal hier oder hier oder hier nachschauen.

In einem etwas größeren Netz kommen ständig ARP-Anfragen. Diese sind für die Funktion des Netzwerks jedoch sehr wichtig. Von daher solltest du tunlichst nicht versuchen, diese künstlich zu reduzieren.

Der Switch merkt sich zwar die Zuordnung MAC-Adresse <-> Port eine Weile, jedoch ist der entsprechende Speicher im Switch erstens klein und zweitens flüchtig. Wird der Switch neu gestartet ist der Speicher also leer und der Switch muss alle Zuordnungen neu lernen. Ist der Speicher voll, werden diejenigen Einträge überschrieben, die am längsten nicht genutzt wurden. Somit timen diese Einträge also nach einer Weile aus, was ja auch durchaus sinnvoll ist. wenn einer dieser rechner nun wieder angesprochen werden soll, geht wieder ein Arp-Request durchs LAN.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...