「低速」で動作している家族のコンピュータをリモートで修正するように依頼されました。セーフモードでも、S&DとAVGスキャンをいくつでも実行してもらいましたが、何も興味がありません。リモートアシスタンスを使用して調べてみると、Wiresharkをインストールして、次の図に示すように、boxは、主にローカルサブネット(WebSTAR 2000 USBケーブルモデムに直接接続されている)に対して、1秒あたり最大20のARP要求を発行しています。
当時のIPアドレスは70.119.184.xx/255.255.240.0でした。デフォルトゲートウェイは70.119.176.1で、DHCPサーバーは10.212.0.1でした。
これは正当なトラフィックである可能性がありますか、それともWootBotのようなワームが拡散しようとしている症状ですか?
編集:マシンはTrojan.Opachkiまたはそれに非常に似たものに感染していると思います。
編集:ARPトラフィックは実際には他の場所から発信されているため、問題のマシンの問題ではありません。 Opachki感染の兆候がありましたが、それは解消されたと思います。来年のクリスマスに彼をルーターに乗せます。
パーティプーパーではありませんが、サブネットのサイズは1秒あたりのARPブロードキャストの数とは無関係です。サブネットがx個のホストに対して十分に大きいからといって、ホストがそのサブネット内のx個のIPアドレスに対してARPを実行することを意味するわけではありません。ホストは、別のホストにパケットを送信する必要があるときにARPパケットを送信します。ホストがそのサブネット内のx個のIPアドレス(またはそのサブネット内の多数のIPアドレス)に対してARPを実行するのは、そのサブネットのIPアドレス範囲をスキャンしている場合(IPスキャンプログラムを使用)のみです。マルウェア、または障害のあるNICまたはNICドライバー。他の時間では、ホストは通常、表示されているような多数のARPパケットを送信しません。さらに、ホストは、IPアドレスがローカルではなく、デフォルトのゲートウェイに送信する必要があることを認識しているため、ローカルサブネット上にないIPアドレスのARPパケットを送信しないため、ARPパケットを送信しません。そのIPアドレスに対して。
ネットワーク上でARPパケットを送信する5つのホストがあります。
10.212.0.1-これは正常のようです。これはデフォルトゲートウェイであり、スクリーンショットにはARPパケットが1つしかありません。デフォルトゲートウェイは、内部ホストにトラフィックを渡す必要があり、そのホストのMACアドレスがARPキャッシュにない場合(他のすべてのネットワークデバイスと同様)、ARPパケットをネットワークに送信します。
24.170.135.1-私はこれを理解していません。これは非ローカルIPアドレスです。どこから来たの?複数のネットワークがブリッジされていますか?複数のNICが複数のネットワークに接続されているか、VPN接続などの複数の接続があるコンピューターがありますか。
24.233.137.1-繰り返しますが、これは非ローカルIPアドレスです。
70.119.248.1-これはおそらく正常ですが、IPアドレスはARPであるため、少しずれているように見えます。それらは同じサブネットにありますが、私が通常のIPアドレス指定スキームと考えるものとはかけ離れています。
70.119.176.1-これはARPパケットの大部分を送信するものであるため、私が心配しているものです。これは、サブネット内のすべてのIPアドレスに対してサブネットスキャンを実行しているか、マルウェアに感染しているか、またはNICまたはNIC運転者。
ARPフラッド(これはあなたが対処していると私が信じていることです)は、ネットワークの通常の状態ではありません。すべてのネットワークトラフィックの約3〜5%を超えるARPブロードキャストは、何かが間違っていることを示す非常に良い兆候です。
[〜#〜]編集[〜#〜]
最近の編集で質問を読み直した後、何が起こっているのかについて別の意見があります。70.119.176.1がネットワークのデフォルトゲートウェイであり、サブネット内のアドレスに対するARP要求の大部分を送信するゲートウェイである場合、次に、外部の誰かがネットワークに対してIPアドレス/ポートスキャンを実行していて、ファイアウォールがそれをブロックしていないと思います。プローブされるすべてのIPアドレスについて、デフォルトゲートウェイはARP要求を送信して、プローブされるIPアドレス上のホストを見つけようとします。ファイアウォール、ルーター、またはモデムに、確認できるログがありますか?
24.x.x.xアドレスがどこから来ているのかまだわかりません。
コンピュータをケーブルモデムに直接接続すると、多くのバックグラウンドノイズが発生します。特に、約4.1kのホストをサポートできる/ 20のブロードキャストドメインでは。私はこのモデムに精通していませんが、これをローカルホスト/ネットワークに接続する唯一のオプションはUSBですか?
ネットワークとブロードバンド接続の間にルーターを設置することを常にお勧めします。ネットワークが1台のコンピューターで構成されている場合でも。 NATは、ワームがコンピューターに直接アクセスできないようにするファイアウォールとして効果的に機能する一方的なトラフィックをドロップします。これは、WindowsPCについて話しているときに特に重要です。