Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)

[PatrykW]

Czesc,

W sumie ja juz sam nie wiem, moze cos podpowiecie, mam serwer dedykowany klienta na windows server 2012.
Serwer hostuje pare stron www plus poczta i jakas baza danych na MSSQL.
Skubianiec strasznie sieje ARPy do adresow IP ktore nie sa przypisane do niego.

Otrzymalem pelny dostep do serwera klienta, chcialem ustawlic czy serwer nie ma jakiego spoorfera, malware badz innych dziwnych rzeczy. Okazuje sie ze nie.

Daje wycinek z wiresharka

Kod: Zaznacz cały

Frame 6915: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
    Interface id: 0 (\Device\NPF_{901A71B2-CAF0-4CB0-9A6B-B5437760DEF7})
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun 17, 2016 11:01:58.095304000 GMT Daylight Time
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1466157718.095304000 seconds
    [Time delta from previous captured frame: 0.000014000 seconds]
    [Time delta from previous displayed frame: 0.000014000 seconds]
    [Time since reference or first frame: 149.556280000 seconds]
    Frame Number: 6915
    Frame Length: 60 bytes (480 bits)
    Capture Length: 60 bytes (480 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:arp]
    [Coloring Rule Name: ARP]
    [Coloring Rule String: arp]
Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Destination: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Source: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Type: ARP (0x0806)
    Padding: 414141414141414141414141414141414141
Address Resolution Protocol (request)
    Hardware type: Ethernet (1)
    Protocol type: IPv4 (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (1)
    Sender MAC address: FujitsuT_c2:a0:39 (00:19:99:c2:a0:39)
    Sender IP address: 88.208.x.y   <--- wlasciwy adres serwera
    Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Target IP address: 88.208.x.y  <--- target ktorey jest spoofowany

Przez cala masa w syslogu

Kod: Zaznacz cały

Jun 17 11:59:28 10.10.130.197 029289: Jun 17 10:59:28.003 GMT: %SW_DAI-4-INVALID_ARP: 1 Invalid ARPs (Req) on Gi0/14, vlan 224.([0019.99c2.a039/88.208.PRAWDZIWY ADRES IP/0000.0000.0000/88.208.ADRES SPOOFOWANT/10:59:27 GMT Fri Jun 17 2016])

Co to jest? to nie jest normalny ARP, jak to mitygowac, jak zindetyfikowac problem ?

[martino76]

Pokaz

Kod: Zaznacz cały

sh run | in arp 

Obstawiam, ze masz włączone

Kod: Zaznacz cały

ip arp inspection validate src-mac

i to co widzę w output hardware MAC jest 00:19:99:c2:a0:39 , ale w Ethernet masz 00:00:00_00:00:00, komenda

Kod: Zaznacz cały

ip arp inspection validate src-mac

porównuje hardware MAC z tym w Ethernet i jeśli są rożne dropuje pakiet.

Pozdro,

[PatrykW]

Pokaz

Kod: Zaznacz cały

sh run | in arp 

Obstawiam, ze masz włączone

Kod: Zaznacz cały

ip arp inspection validate src-mac

i to co widzę w output hardware MAC jest 00:19:99:c2:a0:39 , ale w Ethernet masz 00:00:00_00:00:00, komenda

Kod: Zaznacz cały

ip arp inspection validate src-mac

porównuje hardware MAC z tym w Ethernet i jeśli są rożne dropuje pakiet.

Pozdro,

Hej

Kod: Zaznacz cały

DSSW1071#sh run | in arp
ip arp inspection vlan 204-205,209-211,213,217,219,221,224,226,228-229,232-233
ip arp inspection validate src-mac ip
ip arp inspection filter arpvlan219_rev4162418 vlan  219 static
ip arp inspection filter arpvlan224_rev4160072 vlan  224 static
ip arp inspection filter arpvlan228_rev4162750 vlan  228 static
ip arp inspection filter arpvlan232_rev4163993 vlan  232 static
errdisable recovery cause arp-inspection
 ip arp inspection trust
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection limit rate 1000
 ip arp inspection trust
 ip arp inspection trust
 no ip proxy-arp
arp access-list arpvlan219_rev4162418
arp access-list arpvlan224_rev4160072
arp access-list arpvlan228_rev4162750
arp access-list arpvlan232_rev4163993

Oraz ACL, zamarkowalem IP, gdyz to jest adres wlasciwy serwera,

Kod: Zaznacz cały

DSSW1071#show access-lists arpvlan224_rev4160072 | i trzeci.czwarty oket IP serwera :)
    permit ip host 88.a.b.c mac host 0019.99c2.a039

Kod: Zaznacz cały

DSSW1071#show arp  access-list arpvlan224_rev4160072
ARP access list arpvlan224_rev4160072
    permit ip host 88.a.b.c mac host 0019.99c2.a039

[martino76]

Kod: Zaznacz cały

DSSW1071#sh run | in arp
ip arp inspection vlan 204-205,209-211,213,217,219,221,224,226,228-229,232-233
ip arp inspection validate src-mac ip

Masz włączone ip arp inspection validate src-mac ip wiec info jakie widzisz na switchu jest jak najbardziej poprawne.

W ARP request masz

Sender MAC address: FujitsuT_c2:a0:39 (00:19:99:c2:a0:39)

a w Ethernet masz

Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00)

Dziwne jest to, ze serwer wysyła ARP request z scr MAC jako 00:00:00:00:00:00, powinien wstawić swój MAC jako src czyli w twoim przypadku 00:19:99:c2:a0:39. Moze, spróbuj przeinstalować drivery dla karty sieciowej, albo przyjrzyj się czy jakaś aplikacja nie wysyła tego.

Pozdro,

[PatrykW]

Kod: Zaznacz cały

DSSW1071#sh run | in arp
ip arp inspection vlan 204-205,209-211,213,217,219,221,224,226,228-229,232-233
ip arp inspection validate src-mac ip

Masz włączone ip arp inspection validate src-mac ip wiec info jakie widzisz na switchu jest jak najbardziej poprawne.

W ARP request masz

Sender MAC address: FujitsuT_c2:a0:39 (00:19:99:c2:a0:39)

a w Ethernet masz

Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00)

Dziwne jest to, ze serwer wysyła ARP request z scr MAC jako 00:00:00:00:00:00, powinien wstawić swój MAC jako src czyli w twoim przypadku 00:19:99:c2:a0:39. Moze, spróbuj przeinstalować drivery dla karty sieciowej, albo przyjrzyj się czy jakaś aplikacja nie wysyła tego.

Pozdro,

Na iles tam tysiecy serwerow dedykowanych, tyko ten mi sieje i robi zament w logach.

[konradrz]

Kod: Zaznacz cały

    Padding: 414141414141414141414141414141414141

Na 99% to nie to, aaaale - ten 1% - tak z dawnych czasów mi się skojarzyło, że 0x41414141 ("AAAAAAA"aaaa!) to takie hakierskie podśmiechujki zawsze były, oznaczające jakiś overflow.
Więc może faktycznie przeinstaluj ten driver czy co.