専用ルートサーバーがあります。 iftopの255.255.255.255で奇妙な接続が見つかりました。それで調べてみようとしました。次のコマンドを実行しました。
tcpdump -i eth0 ether broadcast and ether multicast
ここでは毎秒約100個の要求を受けています。
16:21:13.174056 ARP, Request who has ****** tell ***** length 46
16:21:13.174406 ARP, Request who has ****** tell ***** length 46
16:21:13.174717 ARP, Request who has ****** tell ***** length 46
16:21:13.175351 ARP, Request who has ****** tell ***** length 46
16:21:13.175772 ARP, Request who has ****** tell ***** length 46
16:21:13.175923 ARP, Request who has ****** tell ***** length 46
16:21:13.250028 ARP, Request who has ****** tell ***** length 46
16:21:13.261960 ARP, Request who has ****** tell ***** length 46
16:21:13.334608 ARP, Request who has ****** tell ***** length 46
16:21:13.360883 ARP, Request who has ****** tell ***** length 46
16:21:13.361910 ARP, Request who has ****** tell ***** length 46
16:21:13.361919 ARP, Request who has ****** tell ***** length 46
16:21:13.363287 ARP, Request who has ****** tell ***** length 46
16:21:13.363297 ARP, Request who has ****** tell ***** length 46
16:21:13.365008 ARP, Request who has ****** tell ***** length 46
16:21:13.462835 ARP, Request who has ****** tell ***** length 46
16:21:13.464375 ARP, Request who has ****** tell ***** length 46
16:21:13.464954 ARP, Request who has ****** tell ***** length 46
16:21:13.565233 ARP, Request who has ****** tell ***** length 46
16:21:13.566120 ARP, Request who has ****** tell ***** length 46
16:21:13.567008 ARP, Request who has ****** tell ***** length 46
私が見るにはこれは正常ではないと思います。さまざまなIPアドレスからの要求がたくさんあります。次は例です(ドメイン名が検閲されました)。
16:21:13.334608 ARP, Request who has mysql.example.com tell web1.example.com length 46
したがって、web1.example.comは、Machine / Mac-Adressがホスト名mysql.example.comを担当する要求を送信します。私の言葉が正しい場合は、ARPスプーフィングを実行し、web1.example.comに私のサーバーがmysql.example.comを担当していることを知らせることができます。したがって、これは中間者攻撃です...
1 つのプロバイダーの 1 つのサーバーでのみこの問題が発生します。私は以前そのような経験をしたことがありません。私の同僚はまた、これがデータセンターのルーター/スイッチのセキュリティリスク/誤った構成であると考えています。
次の奇妙な点:コマンドを実行するとき
arp
パラメータなしで20の異なるホスト名とMACアドレスのリストを取得しました。
他のプロバイダにも異なるサーバーがあります。他のサーバーでこのコマンドを実行するとARP要求はまったく受信されず、パラメータなしでarpを実行するとマイコンピュータのみが表示されます。それでは、ここで正確に何が起こっているのでしょうか?
答え1
255.255.255.255は驚くべきことではなく、さまざまなプロトコルで使用されるIPv4ブロードキャストアドレスです。 ARPスパムは、ネットワークに問題がある場合に発生する可能性があります。あるいは、通常の状況では、どのIPアドレス(ゲートウェイルータですか?)とその設定を知らずに、トラフィックが悪意のある場合とない場合があります。ネットワークチームに問い合わせますか?
ARPスプーフィングは、ローカルサブネットに悪意のある人がいる場合に問題になる可能性がありますが、適切なネットワーク技術(802.1Xまたは特定のMACを特定のネットワークポートに固定)を使用すると軽減できます。しかし、これはネットワークの問題に近いです。 Unix 側では、静的 arp エントリを生成することが可能ですが、ネットワークグループや他のチームと協力しないと、予期せぬ損傷が発生する可能性があります。
arp
何らかの方法でシステムとチャットしているホストが表示され、システムが何も表示しない場合は、ブロードキャストスパムが一般的ではないサブネット(サービスがロックされているためサーバー専用ネットワークなど)にある可能性が高くなります。ダイナミックDNSなどはありません)、またはVMのネットワーク接続方式のためにブロードキャストトラフィックから保護されているVMです。