Waar komt dat ARP verkeer vandaan?

Ben momenteel bezig met het optimieren van ons bedrijf interne netwerk. Hiervoor heb ik o.a. Wireshark geïnstalleerd. Wat mij nu opvalt aan het ARP verkeer, is dat er een paar IP-Adressen tussen staan die met grote regelmaat terug komen en die niet in het netwerk aanwezig zijn. Nu vraag ik me af waarom.

b.v. deze 190.100.100.152 staat als gezochte IP er tig keer bij. 190.100.100.250 is de Juniper Router/Firewall ofwel de Default Gateway, deze zoekt om de paar seconden naar dit IP adres. Deze bestaat uiteraard niet.

pc-250-100-100-190.cm.vtr.net Broadcast ARP 60 Who has 190.100.100.152? Tell 190.100.100.250

Waarom een deel van ons netwerk op 190.100.100 is ontgaat mijn kennis, maar dit is al vanaf het oude verleden so en word gebruikt voor ons kassa systeem. In dit subnet hangen toch wel 9 Computers. Helaas is het geen fysiek gescheiden subnet, dus komen deze ARP pakken door het hele netwerk aan. Ik zelf zit met mijn PC waarmee ik gescannt heb op het 192.168.103 subnet. Zo heb ik er nog een paar die met grote regelmaat gezocht worden, in totaal is dat ongeveer 70% van alle ARP requests.

Nu zou ik graag willen weten waarom. Ik ga er van uit dat de Juniper niet zonder reden naar 190.100.100.152 zoekt.Wat zou ik kunne doen om te achterhalen wat er aan de hand is?

Zat al te denken dat ik een PC op deze IP adressen zet met een sniffer om te kijken wat er allemaal binnen kommt.

Het zijn wel een IP adressen die ooit bestaan heben. Vroeger, voor mijn tijd, waren alle machines in het 190.100.100 netwerk.

De 152 wordt zo ongeveer elke 0.8 tot 1 seconde gezocht. De meeste andere IP-adressen die niet bestaan komen veel minder vaak voor.

Maar.. ik heb eens op mijn PC die IP toegevoegd en gekeken wat binnen kommt en er blijkt de 192.168.103.121 via SNMP de 190.100.100.152 probeert te benaderen. Eens kijken wat er op die PC draait wat dit zou kunnen veroorzaken.

Edit: Blijkt dat er toch meerdere PC proberen die 190.100.100.152 via een SNMP op port 161 te benaderen. Waarbij mijne dan doorgeeft dat de Port unreachable is.

1 0.000000 192.168.103.121 190.100.100.152 SNMP 119 get-request 1.3.6.1.2.1.25.3.2.1.5.1 1.3.6.1.2.1.25.3.5.1.1.1 1.3.6.1.2.1.25.3.5.1.2.1
2 0.000038 190.100.100.152 192.168.103.121 ICMP 147 Destination unreachable (Port unreachable)

3 2.245818 192.168.103.116 pc-152-100-100-190.cm.vtr.net SNMP 119 get-request 1.3.6.1.2.1.25.3.2.1.5.1 1.3.6.1.2.1.25.3.5.1.1.1 1.3.6.1.2.1.25.3.5.1.2.1
4 2.245869 pc-152-100-100-190.cm.vtr.net 192.168.103.116 ICMP 147 Destination unreachable (Port unreachable)

/edit 2: het blijkt niet het Microsoft eigen SNMP te zijn. De SNMP service is niet geïnstalleerd.

[ Voor 62% gewijzigd door Roman op 23-03-2017 07:51 ]

Nee het is niet de juniper, het zijn 4 windows 7 PC's in het netwerk. Allen ben ik er nog niet uit wat het zou kunnen zijn. Het is iig niet het Microsoft eignen SNMP service. Die is niet geïnstalleerd.

/edit na wat gegoogle blijkt het de Printspooler te zijn. zal eens kijken of daar nog oude HP printers tussen staan.

Ik heb n.l. eens "get-request 1.3.6.1.2.1.25.3.2.1.5.1 1.3.6.1.2.1.25.3.5.1.1.1 1.3.6.1.2.1.25.3.5.1.2.1" gegoogled en wat gevonden over HP-Jet direkt. Helaas weet niemand meet wat er op 190.100.100.152 stond, is gewoon te lang geleden en van documentatie hebben ze hier nog niet gehoord.

Het is iig zo dat als ik de PrintSpoolService uitzet, dat het stopt. Dus daar zal het ergens in zitten.

/Edit 2

Blijkt zo te zijn dat er in de Printereigenschappen nog ip adressen binnen stonden van printers die niet meer bestaan. De printers waren wel verwijdert, maar niet de betreffende IP adressen. Nu deze verwijdert zijn komen van de desbetreffende computer geen SNMP aanvragen meer.

Zo.. nu heb ik deze IP adressen bij enkele machines verwijdert en meteen daalt het ARP verkeer drastisch.

[ Voor 82% gewijzigd door Roman op 23-03-2017 14:34 ]

Merken zal ik het idd niet, iig niet dit kleine beetje. Maar er is nog meer zooi op het netwerk, zo zie ik b.v. een hoop NBIPX pakketten en een paar IPX (zolang niemand Command & Conquer wil spelen kan dat ook uit). En een berg SSDP, maar die heb ik grotendeels al geëlimineerd.

Problemen niet direkt, het voelt wel een beetje traag en daarom ging ik eens kijken wat er allemaal zo over het netwerk dwarrelt. En elk klein beetje helpt.

Wat me wel verbaasd is dat W7 ongeveer elke 15 tot 20 seconden probeert het ip adres te benaderen terwijl er geen Printer op geïnstalleerd is. Alleen maar omdat het IP adres nog in de lijst van mogelijke porten staat.