有人要求我远程修复一位家庭成员的电脑,因为它运行“缓慢”。我让他们运行了多次 S&D 和 AVG 扫描,甚至在安全模式下也是如此,但他们没有发现任何有用的信息。在使用远程协助进行检查时,我安装了 Wireshark,发现该盒子每秒发出多达 20 个 ARP 请求,主要是针对其本地子网(直接连接到 WebSTAR 2000 USB 电缆调制解调器),如下图所示。
当时的IP地址是70.119.184.xx/255.255.240.0。默认网关是70.119.176.1,DHCP服务器是10.212.0.1。
这可能是合法流量吗,或者这是 WootBot 等蠕虫试图传播的症状?
编辑:我认为该机器感染了Trojan.Opachki或类似的病毒。
编辑:ARP 流量实际上来自其他地方,因此这不是所讨论机器的问题。有迹象表明 Opachki 感染了病毒,但我认为已经解决了。明年圣诞节我会把它买来换一台路由器。
答案1
不想扫兴,但子网的大小与每秒的 ARP 广播数量无关。仅仅因为子网足够大以容纳 x 个主机并不意味着主机将对该子网中的 x 个 IP 地址执行 ARP。主机在需要向另一台主机发送数据包时会发送 ARP 数据包。主机唯一会对其子网中的 x 个 IP 地址(或其子网中的大量 IP 地址)执行 ARP 的情况是,它正在扫描其子网的 IP 地址范围(使用 IP 扫描程序)、被恶意软件感染或 NIC 或 NIC 驱动程序有故障。在其他情况下,主机通常不会像您看到的那样发送大量 ARP 数据包。此外,主机不会为不在其本地子网上的 IP 地址发送 ARP 数据包,因为它知道该 IP 地址不是本地的,并且需要将其发送到其默认网关,因此不会为该 IP 地址发送 ARP 数据包。
网络上有 5 个主机发送 ARP 数据包:
10.212.0.1 - 这似乎很正常。这是默认网关,屏幕截图中只有一个 ARP 数据包。当默认网关需要将流量传递到内部主机并且该主机的 MAC 地址不在其 ARP 缓存中时(就像其他所有网络设备一样),它会将 ARP 数据包发送到网络。
24.170.135.1 - 我不明白这个。这是一个非本地 IP 地址。它来自哪里?您是否将多个网络桥接在一起?任何计算机是否有多个 NIC 连接到多个网络或多个连接,例如 VPN 连接等。
24.233.137.1——同样,这是一个非本地 IP 地址。
70.119.248.1 - 这可能是正常的,尽管它所针对的 ARP 的 IP 地址似乎有点不合适。它们位于同一子网中,但与我认为的正常 IP 寻址方案相差甚远。
70.119.176.1 - 这个让我很担心,因为它发送了大量的 ARP 数据包。我怀疑这个设备要么正在对子网中的所有 IP 地址进行子网扫描,要么感染了恶意软件,要么它的 NIC 或 NIC 驱动程序有问题。
ARP 泛滥(我相信您遇到的就是这种情况)不是网络中的正常情况。ARP 广播超过所有网络流量的 3-5% 左右,这非常明显表明存在问题。
编辑
在重新阅读了您的问题以及您最近的编辑后,我对发生的事情有了不同的看法:如果 70.119.176.1 是网络的默认网关,并且它是发送子网中地址的大部分 ARP 请求的网关,那么我认为您外部的某个人正在对您的网络执行 IP 地址\端口扫描,而您的防火墙没有阻止它。对于每个被探测的 IP 地址,您的默认网关都会发送 ARP 请求以尝试在被探测的 IP 地址上找到主机。您的防火墙、路由器或调制解调器是否有您可以查看的日志?
我还是不明白 24.xxx 地址是从哪里来的。
答案2
那么,如果计算机直接连接到电缆调制解调器,您将会听到很多背景噪音。尤其是在广播域为 /20 的情况下,该域可以支持大约 4.1k 个主机。我不熟悉这款调制解调器,USB 是将其连接到本地主机/网络的唯一选项吗?
我总是建议你在网络和宽带连接之间放置一个路由器。即使网络只有一台计算机。NAT 将丢弃任何未经请求的流量,这将有效地充当防火墙,防止蠕虫直接访问计算机。当你谈论 Windows PC 时,这一点尤其重要。
答案3
每秒 20 个 ARP 肯定在 /20 子网的正常背景噪音范围内。我很惊讶它没有更高。一般来说,ARP 请求本身并不是蠕虫试图传播的迹象。您知道的足以造成危险,但还不足以知道如何查看网络流量。坚持下去,不断提问,您将获得洞察力,真正利用您的工具包。