Hallo ihr,
ich bin hier schon seit längerem lesend aktiv und jetzt möchte ich auch mal zu Wort melden, da mir hier was nicht ganz klar ist:
Folgendes Szenario:
Wir haben gestern Nacht seit längerem mal wieder mit 7 Leuten ne LAN veranstaltet. Beim CoD4 zocken kam es dann wiederholt zu diversen Lags bis hin zu kompletten Verbindungsabbrüchen. Aus diesem Grund hab ich am Netbook mal Wireshark angeschmissen um zu schaun ob irgenwelche Broadcasts, Multicasts o.ä. vllt unser Pseudo-LAN belasten.
Wireshark spuckte dann neben den üblichen Verdächtigen wie Netbios, UPnP u. a. folgende meiner Ansicht nach nicht schlüssigen ARP-Requests aus:
Auf den ersten Blick sind solche ARPs ja nix ungewöhnliches, sie werden ja benötigt um den IPs die MAC-Adressen zuzuordnen. Allerdings ist das seltsame, dass die ARPs die bei uns über die Kabel gingen sich allesamt auf Adressen im C-Netz 192.168.0.0 beziehen.
Wir haben aber gar kein Class-C-Netz aufgebaut, sondern einen (Pseudo)-Adressierung auf Basis von APIPA verwendet (IPs automatisch beziehen, sodass Windows automatisch eine IP-Adresse aus dem B-Netz 169.254.0.0 vergibt, da kein DHCP-Server betrieben wurde).
Jetzt meine Frage: Haben diese Broadcasts einen Sinn (wovon ich nicht ausgehe) oder wurden Sie von Malware produziert, wenn ja mit welcher Absicht? Wäre nett, wenn mir jemand mitteilen könnte, welcher Trojaner etc. ein solches Verhalten zeigt, bzw. ob weitere Gefahren bestehen neben der Netzbelastung.
Danke im Voraus.
Schönen Gruß
bömi
ich bin hier schon seit längerem lesend aktiv und jetzt möchte ich auch mal zu Wort melden, da mir hier was nicht ganz klar ist:
Folgendes Szenario:
Wir haben gestern Nacht seit längerem mal wieder mit 7 Leuten ne LAN veranstaltet. Beim CoD4 zocken kam es dann wiederholt zu diversen Lags bis hin zu kompletten Verbindungsabbrüchen. Aus diesem Grund hab ich am Netbook mal Wireshark angeschmissen um zu schaun ob irgenwelche Broadcasts, Multicasts o.ä. vllt unser Pseudo-LAN belasten.
Wireshark spuckte dann neben den üblichen Verdächtigen wie Netbios, UPnP u. a. folgende meiner Ansicht nach nicht schlüssigen ARP-Requests aus:
Code:
361 150.626127 Asiarock_dd:42:af Broadcast ARP Who has 192.168.0.98? Tell 192.168.0.10
360 149.428544 Asiarock_dd:42:af Broadcast ARP Who has 192.168.0.97? Tell 192.168.0.10
340 146.425926 Asiarock_dd:42:af Broadcast ARP Who has 192.168.0.97? Tell 192.168.0.10
...
698 655.366271 AsustekC_29:60:b4 Broadcast ARP Who has 192.168.0.79? Tell 192.168.0.163
...
1659 1376.140910 Giga-Byt_db:ba:59 Broadcast ARP Who has 192.168.0.1? Tell 192.168.0.243
... (347 Pakete innerhalb von ca. 5 min Scan)
Auf den ersten Blick sind solche ARPs ja nix ungewöhnliches, sie werden ja benötigt um den IPs die MAC-Adressen zuzuordnen. Allerdings ist das seltsame, dass die ARPs die bei uns über die Kabel gingen sich allesamt auf Adressen im C-Netz 192.168.0.0 beziehen.
Wir haben aber gar kein Class-C-Netz aufgebaut, sondern einen (Pseudo)-Adressierung auf Basis von APIPA verwendet (IPs automatisch beziehen, sodass Windows automatisch eine IP-Adresse aus dem B-Netz 169.254.0.0 vergibt, da kein DHCP-Server betrieben wurde).
Jetzt meine Frage: Haben diese Broadcasts einen Sinn (wovon ich nicht ausgehe) oder wurden Sie von Malware produziert, wenn ja mit welcher Absicht? Wäre nett, wenn mir jemand mitteilen könnte, welcher Trojaner etc. ein solches Verhalten zeigt, bzw. ob weitere Gefahren bestehen neben der Netzbelastung.
Danke im Voraus.
Schönen Gruß
bömi