[Comm] Arp flood

Ср Июл 12 13:05:06 MSD 2006

В Срд, 12/07/2006 в 11:20 +0500, Pavel Stoliarov пишет:

> 09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45

> Как бороться с таким флудингом ?

Ничего страшного (для Вас) пока не происходит, если вы ничего не знаете
об этих адресах.
Лечится комплексом из технических (сниффер) и организационных
(бейсбольная бита) методов. Запускаем сниффер, например, ethereal;
смотрим ethernet-фрейм, поле source. Есть очень высокая вероятность
того, что это поле будет соответствовать действительности.
Далее берем чудную вещь arpspoof из пакета dsniff и прикидываемся хостом
с адресом 192.168.0.45. Должно получиться что-то очень интересное ;)
Скорее всего, ваш адсл-модем подрабатывает бриджем и пересылает чью-то
чрезмерную широковещательную активность к вам на eth1. Можно и
проигнорировать, в общем-то.

-- 
Best wishes,
~       Serge.           pubkeys: http://uch.net/~fisher/keys.asc
~fingerprint : 4346 2766 BC96 E77F 5BFF  1E7C 12C2 3852 E5FD DC34