# Werd ich nun angegriffen oder nicht? (ARP Spoofing?)



## bartman336 (22. Juli 2002)

Hi Leute, 
vielleicht kann mir ja einer von euch helfen und zwar folgendes
ich hab hier einen Rechner im Subnetz der in regelmäßigen 
Abständen jede Menge ARP Requests bekommt. Es sind immer 64 Stück und sie kommen immer in einem Abstand von ca 10 Minuten. Ich hab das mal mit iptraf mitloggen lassen. Als Ergebnis hab jeweils folgende Zeile bekommen.



> Mon Jul 22 15:01:05 2002; ARP request for 212.95.xxx.xxx; eth0; 46 bytes; from 00206f118f31 to ffffffffffff



wobei sich die ip ab und zu mal ändert aber eine IP bekommt diese anfragen am häufigsten. Das problem ist nur das an diesen IP's an denen die ARP Anfragen ja gerichtet sind kein Rechner bzw keine "Empfänger" vorhanden sind. 

In diesem Subnetz gibt es noch einen weiteren Rechner der allerdings von diesen ARP-Anfragen verschont bleibt. 

Die "from"-MAC Adresse bleibt bei diesen Requests übrigens immer dieselbe allerdings gibt in diesem Subnetz keinen Rechner oder Router mit dieser MAC Adresse. 

Ich meine es sieht zwar nicht wirklich bedrohlich aus da es nicht genügend Requests sind um zum Beispiel nen Switch in den Hub Modus zu zwingen aber es nervt irgendwie und man möchte schon gerne wissen woher und warum dieser schrott kommt


----------



## razor (22. Juli 2002)

also das dich da einer attakiert glaub ich weniger. es wird sich sicherlich keiner die mühe machen 64 anfragen im 10min abstand zu machen. das wärn ja über 10 stunden.
die from-adresse is deshalb immer dieselbe da im header des packets nur die des letzten routers steht. (also nich die des absenders)

meiner meinung nach is das eine fehlfunktion eines inet-routers.


----------



## razor (23. Juli 2002)

oh, sorry. da hab ich das gestern 'n bisl falsch interpretiert. Du meintest sicherlich das alle 10 Minuten 64 Anfragen kommen.

naja. das Ändert jetzt aber eigentlich erst ma nix an meiner Theorie.


----------

