[XP/Vista] Veel ARP requests - Windows clients

donderdag 27 november 2008 10:42

Acties:

Topicstarter

Dag allemaal,

Ik heb hier een aantal Windows XP/Vista systemen staan die erg veel broadcasts genereren. Ik heb het netwerk verkeer eens bekeken met Wireshark en ik zie dat de systemen het hele subnet afzoeken naar reagerende systemen. Het subnet is 172.16.0.0/255.255.0.0 wat dus ongeveer 65536 ip adressen bestrijkt. Door die zoektocht slingert Windows allemaal ARP requests het netwerk op om er achter te komen of die systemen bestaan, vermenigvuldig dat met een stuk of 10 systemen en het wordt (mij in ieder geval te) veel...

De eerste gedachte was een virus/trojan oid, maar dat is het niet, dat weer ik onderhand wel zeker.

Maar goed, hoe kom ik er in hemelsnaam achter welk proces op de windows machines dit veroorzaakt. Zijn er sniffers welke binnen Windows de bron van netwerk verkeer kunnen tracen???

Ook andere suggesties zijn welkom.

t.k.a. sig space t.e.a.b.

donderdag 27 november 2008 11:35

Acties:

alt-92

ye olde farte

hommer schreef op donderdag 27 november 2008 @ 10:42:
Dag allemaal,

Ik heb hier een aantal Windows XP/Vista systemen staan die erg veel broadcasts genereren. [..]

Windows (NetBIOS) netwerken zijn erg "Chatty".
Als je geen netbios over TCP/IP aan hebt staan scheelt dat al een heel stuk aan Name broadcasts, en dát scheelt weer in de bijbehorende ARPs.

Maar goed, hoe kom ik er in hemelsnaam achter welk proces op de windows machines dit veroorzaakt. Zijn er sniffers welke binnen Windows de bron van netwerk verkeer kunnen tracen???

Je hebt 'm al.
En bovendien heb je ook nog netstat waar je het proces zelf mee kan achterhalen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 27 november 2008 13:18

Acties:

hommer

Topicstarter

alt-92 schreef op donderdag 27 november 2008 @ 11:35:
[...]

Windows (NetBIOS) netwerken zijn erg "Chatty".
Als je geen netbios over TCP/IP aan hebt staan scheelt dat al een heel stuk aan Name broadcasts, en dát scheelt weer in de bijbehorende ARPs.

[...]

Je hebt 'm al.
En bovendien heb je ook nog netstat waar je het proces zelf mee kan achterhalen.

Met het hele subnet afzoeken bedoel ik dus dat alle IP adressen worden geprobeerd zo zie ik nu: 172.16.137.1...172.16.137.254, 172.16.138.1..172.16.137.254, etc, etc

Ik heb netbios over TCP/IP eens uitgezet maar dat heeft geen enkel effect. Vwb netstat, harstikke leuk, maar daaruit haal ik niet welk proces nu werkelijk aan het zoeken is, of mis ik daar wat misschien?

Ik krijg onderhand het gevoel dat het voornamelijk verkeer is dat gegenereerd wordt vanaf wifi netwerk kaarten...??

t.k.a. sig space t.e.a.b.

donderdag 27 november 2008 21:20

Acties:

alt-92

ye olde farte

hommer schreef op donderdag 27 november 2008 @ 13:18:
Met het hele subnet afzoeken bedoel ik dus dat alle IP adressen worden geprobeerd zo zie ik nu: 172.16.137.1...172.16.137.254, 172.16.138.1..172.16.137.254, etc, etc

Bedoel je dat je daarmee dingen ziet als

code:

1	37 59.305141 3Com_ce:64:85 Broadcast ARP Who has 192.168.0.200? Tell 192.168.0.5

Zo ja: wat is nou echt je probleem, dat het jou teveel lijkt?
Hoeveel echte hosts heb je rondhangen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 28 november 2008 07:45

Acties:

hommer

Topicstarter

alt-92 schreef op donderdag 27 november 2008 @ 21:20:
[...]

Bedoel je dat je daarmee dingen ziet als
code:
1
37  59.305141   3Com_ce:64:85   Broadcast   ARP Who has 192.168.0.200?  Tell 192.168.0.5
Zo ja: wat is nou echt je probleem, dat het jou teveel lijkt?
Hoeveel echte hosts heb je rondhangen?

Ik zie inderdaad dit;

code:

3100    0.796627    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.19?  Tell 172.16.3.2
3101    0.796636    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.20?  Tell 172.16.3.2
3102    0.796643    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.21?  Tell 172.16.3.2
3103    0.796649    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.22?  Tell 172.16.3.2
3104    0.796656    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.23?  Tell 172.16.3.2
3105    0.796662    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.28?  Tell 172.16.3.2
3106    0.796669    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.29?  Tell 172.16.3.2
3107    0.796676    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.30?  Tell 172.16.3.2
3108    0.796683    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.31?  Tell 172.16.3.2
3109    0.796690    Dell_d2:c8:6a   Broadcast   ARP Who has 172.16.8.32?  Tell 172.16.3.2

En voordat hij dan eens bij 172.16.255.254 is zijn we een dag verder....

Het netwerk bevat ongeveer 50 clients. Misschien is dat subnet ooit niet zo voordelig gekozen, maar daar doe ik helaas niet meer zoveel aan.
Ik weet niet echt wat TE veel is, procentueel gezien is het 2x niks natuurlijk dat verkeer, maar het stoort me nogal eigenlijk en ik wil er graag achter komen waarom dit in gebeurt.

Het vreemde vind ik dat niet alle clients doen het, ongeveer 5 van de 50. Ik wil dan graag weten waarom.... maar misschien moet ik iets anders nuttigs zoeken om te doen

t.k.a. sig space t.e.a.b.

vrijdag 28 november 2008 09:34

Acties:

barber

hommer schreef op donderdag 27 november 2008 @ 13:18:
[...]

Ik heb netbios over TCP/IP eens uitgezet maar dat heeft geen enkel effect. Vwb netstat, harstikke leuk, maar daaruit haal ik niet welk proces nu werkelijk aan het zoeken is, of mis ik daar wat misschien?

Je zou Microsoft Network Monitor 3.2 kunnen proberen.
http://www.microsoft.com/...2f4dc4190d&DisplayLang=en

Nieuw in versie 3.2 is Process Tracking, daarmee kan je het process achterhalen van het netwerk verkeer.

vrijdag 28 november 2008 09:46

Acties:

blaataaps

alt-92 schreef op donderdag 27 november 2008 @ 11:35:
[...]

Windows (NetBIOS) netwerken zijn erg "Chatty".
Als je geen netbios over TCP/IP aan hebt staan scheelt dat al een heel stuk aan Name broadcasts, en dát scheelt weer in de bijbehorende ARPs.

Hoe leidt een Name broadcast precies tot een arp-request? De verzender van de broadcast doet er geen, want die stuurt het naar het broadcast-adres en hoeft dus geen arp-request te doen, en de ontvanger hoeft er geen te doen want die hoeft niet zo nodig met de verzender te praten, en die kreeg het mac-adres sowieso al gratis bij de broadcast.
Bij XP heb ik het al een tijdje niet gezien, maar voordat SP2 gereleased was, was 99.9% van de machines die ik tegenkwam met dit gedrag besmet met iets dat zichzelf probeert te verspreiden op het lokale subnet. Ook al is netbios "chatty", het is nog net wel zo goed ontworpen dat het niet met elke host in het subnet 1-op-1 wil verbinden en de hele dag daarvoor dus maar arp-requests gaat sturen.

vrijdag 28 november 2008 11:23

Acties:

alt-92

ye olde farte

blaataaps schreef op vrijdag 28 november 2008 @ 09:46:
[...]
Hoe leidt een Name broadcast precies tot een arp-request? De verzender van de broadcast doet er geen, want die stuurt het naar het broadcast-adres en hoeft dus geen arp-request te doen, en de ontvanger hoeft er geen te doen want die hoeft niet zo nodig met de verzender te praten, en die kreeg het mac-adres sowieso al gratis bij de broadcast.

Er zit nog wel verschil in of je een hybrid node of anders hebt.

Maar met arp zit er nog wel meer tussen, switches met beperkte mac tables bijvoorbeeld.

Bij XP heb ik het al een tijdje niet gezien, maar voordat SP2 gereleased was, was 99.9% van de machines die ik tegenkwam met dit gedrag besmet met iets dat zichzelf probeert te verspreiden op het lokale subnet. Ook al is netbios "chatty", het is nog net wel zo goed ontworpen dat het niet met elke host in het subnet 1-op-1 wil verbinden en de hele dag daarvoor dus maar arp-requests gaat sturen.

dan zou je alsnog ook andere verkeerspatronen voorbij moeten zien komen toch?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 28 november 2008 12:03

Acties:

Brahiewahiewa

boelkloedig

hommer schreef op donderdag 27 november 2008 @ 10:42:
...De eerste gedachte was een virus/trojan oid, maar dat is het niet, dat weer ik onderhand wel zeker...

Hoe weet je dat zo zeker?
't Gedrag is typisch voor malware. 't Enige alternatief is een of andere management tool die erg nieuwsgierig is naar wat er op het netwerk te beleven valt (HP JetDirect o.a.) Doe's een lijstje van de actieve processen op die machine

QnJhaGlld2FoaWV3YQ==

vrijdag 28 november 2008 13:26

Acties:

hommer

Topicstarter

Brahiewahiewa schreef op vrijdag 28 november 2008 @ 12:03:
[...]
Hoe weet je dat zo zeker?
't Gedrag is typisch voor malware. 't Enige alternatief is een of andere management tool die erg nieuwsgierig is naar wat er op het netwerk te beleven valt (HP JetDirect o.a.) Doe's een lijstje van de actieve processen op die machine

Drie virusscanners en trojan hunter later durf ik dat wel met aan zekerheid grenzende waarheid te beweren....
Ik heb ook al eens even het IP van een host veranderd vlak wat door zo'n scannende machine dan gezocht gaat worden, maar meer dan die ARP request volgt er ook niet. Het is niet zo dat er daarna actief contact met zo'n gevonden IP volgt.

Ik ga eens even kijken of Microsoft Network Monitor 3.2 mij misschien wat zinnings kan vertellen, bedankt voor die tip!

t.k.a. sig space t.e.a.b.

vrijdag 28 november 2008 13:49

Acties:

hommer

Topicstarter

Goed, de Microsoft Network Monitor vind ik wel een aanrader. Wat mij betreft beter dan Wireshark.

Vervelend genoeg, voor mij, kan hij me nog steeds niet vertellen waar de arp requests vandaan komen.Het programma lijkt zich volledig te richten op layer 3 protocollen. Arp wordt als ongebonden traffic weergegeven, wat ik -met dat uitgangspunt- ook wel begrijp.

t.k.a. sig space t.e.a.b.

Pagina: 1

Reageer