Mr.Floppy33
26.03.05, 20:10
Frohe Ostern erstmal :)
Also ich habe einen Fli4L, der eine Workstation und ein nur 2h pro Woche aktiver Server (apache, ssh - eher zu Testzwecken) mit Internet versorgt.
Für den Apache hab ich eine dyndns-adresse und es gibt vielleicht 2-3 ausgewählte Leute, die die Adresse kennen. Wird also nur zum privaten Datenaustausch verwendet.
So, jetzt zu dem Problem:
Ich hab an der Workstation jeden Traffic vermieden und mal aus Spass ethereal laufen lassen. Da stelle ich nun fest, dass von dem Fli4L im Sekundentakt ein ARP-Request (who has <apache-ip> tell <fli4l-ip>) läuft. Also nach 1000Sekunden waren knapp 950 dieser ARP-Pakete gesendet.
Weil ich auf dem Fli keine tools zum sniffen habe, hab ich ganz mutig den Apache-Rechner eingeschaltet und dort tethereal laufen lassen.
Seit der Apache dann on war, hörten die ARPs auf und reger Traffic (ACK, SYN, FIN, TCP Retransmissen, TCP Out-Of-Order, TCP Dup ACK 46#1) von diversen IP-Adressen zum Apache wurden mir mitgeteilt.
Hauptsächlich von den IPs
67.127.213.143
220.255.116.113
220.255.112.193
220.255.114.248
67.118.99.233
220.255.115.161
68.120.199.15
67.122.215.127
220.255.37.230
und noch etwa 10 weitere... Traffic von ca. 10sek.
Danach hab ich dann direkt wieder ifdown eth0 gemacht und seitdem kommen dann auch wieder die ARP-Pakete vom Fli4L.
die 220.255.xxx.xxx kommen laut whois aus "singapore".
Bei den anderen steht nur
Pac Bell Internet Services PBI-NET-10 (NET-67-112-0-0-1)
67.112.0.0 - 67.127.255.255
Rback14.SNFC21 PPPoX Customer Pool SBC067118098000020414 (NET-67-118-98-0-1)
67.118.98.0 - 67.118.99.255
# ARIN WHOIS database, last updated 2005-03-25 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Ganz gleich welche IP ich einfach in den browser eingebe, so kommt als text:
"If you can read this, you are sitting too close to the monitor."
Nicht grad das seriöseste, finde ich...
Ich kann das alles irgendwie nicht einordnen.
Könnt mir bitte jemand helfen das alles einzuschätzen?
Also ich habe einen Fli4L, der eine Workstation und ein nur 2h pro Woche aktiver Server (apache, ssh - eher zu Testzwecken) mit Internet versorgt.
Für den Apache hab ich eine dyndns-adresse und es gibt vielleicht 2-3 ausgewählte Leute, die die Adresse kennen. Wird also nur zum privaten Datenaustausch verwendet.
So, jetzt zu dem Problem:
Ich hab an der Workstation jeden Traffic vermieden und mal aus Spass ethereal laufen lassen. Da stelle ich nun fest, dass von dem Fli4L im Sekundentakt ein ARP-Request (who has <apache-ip> tell <fli4l-ip>) läuft. Also nach 1000Sekunden waren knapp 950 dieser ARP-Pakete gesendet.
Weil ich auf dem Fli keine tools zum sniffen habe, hab ich ganz mutig den Apache-Rechner eingeschaltet und dort tethereal laufen lassen.
Seit der Apache dann on war, hörten die ARPs auf und reger Traffic (ACK, SYN, FIN, TCP Retransmissen, TCP Out-Of-Order, TCP Dup ACK 46#1) von diversen IP-Adressen zum Apache wurden mir mitgeteilt.
Hauptsächlich von den IPs
67.127.213.143
220.255.116.113
220.255.112.193
220.255.114.248
67.118.99.233
220.255.115.161
68.120.199.15
67.122.215.127
220.255.37.230
und noch etwa 10 weitere... Traffic von ca. 10sek.
Danach hab ich dann direkt wieder ifdown eth0 gemacht und seitdem kommen dann auch wieder die ARP-Pakete vom Fli4L.
die 220.255.xxx.xxx kommen laut whois aus "singapore".
Bei den anderen steht nur
Pac Bell Internet Services PBI-NET-10 (NET-67-112-0-0-1)
67.112.0.0 - 67.127.255.255
Rback14.SNFC21 PPPoX Customer Pool SBC067118098000020414 (NET-67-118-98-0-1)
67.118.98.0 - 67.118.99.255
# ARIN WHOIS database, last updated 2005-03-25 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Ganz gleich welche IP ich einfach in den browser eingebe, so kommt als text:
"If you can read this, you are sitting too close to the monitor."
Nicht grad das seriöseste, finde ich...
Ich kann das alles irgendwie nicht einordnen.
Könnt mir bitte jemand helfen das alles einzuschätzen?