ARP Requests an meinen Server?

Dieses Thema im Forum "Security" wurde erstellt von dmuc, 10. Dezember 2015.

  1. dmuc

    dmuc New Member

    Registriert seit:
    28. Februar 2013
    Beiträge:
    1
    Hallo,

    ich habe einen Root Server bei einem deutschen Hoster. Als ich mal die Auslastung mit iftop prüfen wollte sind mir merkwürdige Verbindungen mit IP 255.255.255.255 und einem fremden Domain- und IP-Adressen aufgefallen. Daraufhin habe ich mich etwas informiert was das sein könnte. Ein Bekannter hat mir empfohlen diesen Befehl mal auszuführen und mitzuloggen was passiert:

    tcpdump -i eth0 ether broadcast and ether multicast

    Ich habe dies gemacht und erhalte hier hunderte solcher Anfragen pro Sekunde:

    16:21:13.174056 ARP, Request who has ****** tell ***** length 46
    16:21:13.174406 ARP, Request who has ****** tell ***** length 46
    16:21:13.174717 ARP, Request who has ****** tell ***** length 46
    16:21:13.175351 ARP, Request who has ****** tell ***** length 46
    16:21:13.175772 ARP, Request who has ****** tell ***** length 46
    16:21:13.175923 ARP, Request who has ****** tell ***** length 46
    16:21:13.250028 ARP, Request who has ****** tell ***** length 46
    16:21:13.261960 ARP, Request who has ****** tell ***** length 46
    16:21:13.334608 ARP, Request who has ****** tell ***** length 46
    16:21:13.360883 ARP, Request who has ****** tell ***** length 46
    16:21:13.361910 ARP, Request who has ****** tell ***** length 46
    16:21:13.361919 ARP, Request who has ****** tell ***** length 46
    16:21:13.363287 ARP, Request who has ****** tell ***** length 46
    16:21:13.363297 ARP, Request who has ****** tell ***** length 46
    16:21:13.365008 ARP, Request who has ****** tell ***** length 46
    16:21:13.462835 ARP, Request who has ****** tell ***** length 46
    16:21:13.464375 ARP, Request who has ****** tell ***** length 46
    16:21:13.464954 ARP, Request who has ****** tell ***** length 46
    16:21:13.565233 ARP, Request who has ****** tell ***** length 46
    16:21:13.566120 ARP, Request who has ****** tell ***** length 46
    16:21:13.567008 ARP, Request who has ****** tell ***** length 46

    Aus Sicherheitsgründen habe ich die Daten hier zensiert. Die ersten **** sind immer wechselnde Domains oder IP-Adressen welche, wie Stichproben ergeben haben, bei meinem Hoster im Rechenzentrum stehen.


    Das ganze kommt mir sehr komisch vor, daher habe ich die selben Befehle mal bei einem anderen Server den ich bei einem anderen Provider habe ausgeführt und dort erhalte ich nicht einen solchen Request innerhalb von 10 Minuten. Bei mir sind es wie gesagt bestimmt hundert pro Sekunde.

    Was bedeutet das genau?
     
  2. A-N

    A-N Erfahrener Benutzer

    Registriert seit:
    13. September 2004
    Beiträge:
    1.675

Diese Seite empfehlen