Hallo,
ich habe einen Root Server bei einem deutschen Hoster. Als ich mal die Auslastung mit iftop prüfen wollte sind mir merkwürdige Verbindungen mit IP 255.255.255.255 und einem fremden Domain- und IP-Adressen aufgefallen. Daraufhin habe ich mich etwas informiert was das sein könnte. Ein Bekannter hat mir empfohlen diesen Befehl mal auszuführen und mitzuloggen was passiert:
tcpdump -i eth0 ether broadcast and ether multicast
Ich habe dies gemacht und erhalte hier hunderte solcher Anfragen pro Sekunde:
Aus Sicherheitsgründen habe ich die Daten hier zensiert. Die ersten **** sind immer wechselnde Domains oder IP-Adressen welche, wie Stichproben ergeben haben, bei meinem Hoster im Rechenzentrum stehen... Darunter auch große Firmen mit Online-Shops etc.
Das ganze kommt mir sehr komisch vor, daher habe ich die selben Befehle mal bei einem anderen Server den ich bei einem anderen Provider habe ausgeführt und dort erhalte ich nicht einen solchen Request innerhalb von 10 Minuten. Bei mir sind es wie gesagt bestimmt hundert pro Sekunde.
Was bedeutet das genau?
Wenn ich das richtig sehe könnte ich doch hier ARP Spoofing betreiben? Sollte sowas nicht von meinem Provider unterbunden werden?
ich habe einen Root Server bei einem deutschen Hoster. Als ich mal die Auslastung mit iftop prüfen wollte sind mir merkwürdige Verbindungen mit IP 255.255.255.255 und einem fremden Domain- und IP-Adressen aufgefallen. Daraufhin habe ich mich etwas informiert was das sein könnte. Ein Bekannter hat mir empfohlen diesen Befehl mal auszuführen und mitzuloggen was passiert:
tcpdump -i eth0 ether broadcast and ether multicast
Ich habe dies gemacht und erhalte hier hunderte solcher Anfragen pro Sekunde:
Code:
16:21:13.174056 ARP, Request who has ****** tell ***** length 46
16:21:13.174406 ARP, Request who has ****** tell ***** length 46
16:21:13.174717 ARP, Request who has ****** tell ***** length 46
16:21:13.175351 ARP, Request who has ****** tell ***** length 46
16:21:13.175772 ARP, Request who has ****** tell ***** length 46
16:21:13.175923 ARP, Request who has ****** tell ***** length 46
16:21:13.250028 ARP, Request who has ****** tell ***** length 46
16:21:13.261960 ARP, Request who has ****** tell ***** length 46
16:21:13.334608 ARP, Request who has ****** tell ***** length 46
16:21:13.360883 ARP, Request who has ****** tell ***** length 46
16:21:13.361910 ARP, Request who has ****** tell ***** length 46
16:21:13.361919 ARP, Request who has ****** tell ***** length 46
16:21:13.363287 ARP, Request who has ****** tell ***** length 46
16:21:13.363297 ARP, Request who has ****** tell ***** length 46
16:21:13.365008 ARP, Request who has ****** tell ***** length 46
16:21:13.462835 ARP, Request who has ****** tell ***** length 46
16:21:13.464375 ARP, Request who has ****** tell ***** length 46
16:21:13.464954 ARP, Request who has ****** tell ***** length 46
16:21:13.565233 ARP, Request who has ****** tell ***** length 46
16:21:13.566120 ARP, Request who has ****** tell ***** length 46
16:21:13.567008 ARP, Request who has ****** tell ***** length 46
Das ganze kommt mir sehr komisch vor, daher habe ich die selben Befehle mal bei einem anderen Server den ich bei einem anderen Provider habe ausgeführt und dort erhalte ich nicht einen solchen Request innerhalb von 10 Minuten. Bei mir sind es wie gesagt bestimmt hundert pro Sekunde.
Was bedeutet das genau?
Wenn ich das richtig sehe könnte ich doch hier ARP Spoofing betreiben? Sollte sowas nicht von meinem Provider unterbunden werden?
Aucun commentaire:
Enregistrer un commentaire