---

Hej

Jeg har i længere tid haft en del problemer med især blaster-ormen og
dens varianter på 'mit' netværk. Den har for vane at scanne hele LAN
igennem og forsøge at forbinde til port 135 på alle kørende maskiner.

Det giver et ret tydeligt mønster med typisk 5-10 kb/s ARP
broadcasts. Det er ret nemt at genkende i f. eks. tcpdump. Normalt
giver den også udgående forbindelser til internettet på port 135, som
jeg kan logge i firewallen og findes på den vis. Det gør nogle af
varianterne dog ikke; her tænker jeg på Gaobot og Polybot.

Jeg søger derfor en måde at logge/overvåge overdrevent brug af
ARP-requests. Jeg har søgt på freshmeat og google samt i Debians
pakkearkiv, men det er ikke lykkedes mig at finde noget brugbart. Jeg
tænker ikke her på interaktivt programmel; det er nemt nok at fyre op
for tcpdump, tethereal el. lign.; snarere noget, der kan køre som
dæmon el. lign.

Er der nogen, der kender noget programmel til at overvåge den slags
aparte trafik, som ARP requests i den skala er (eller evt. ethernet
broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
med noget scripting - det virker bare umiddelbart klodset...

Jeg kører Debian Stable med 2.4-kerner på i386.

PFT
/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
God, root, what is difference?
God is more forgiving.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote in
<news:873c80l6c6.fsf@grignard.amagerkollegiet.dk>:

> Er der nogen, der kender noget programmel til at overvåge den slags
> aparte trafik, som ARP requests i den skala er (eller evt. ethernet
> broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
> med noget scripting - det virker bare umiddelbart klodset...

Jeg er ikke helt sikker på om det er hvad du leder efter, men måske
snort kan løse dit problem?

http://www.snort.org/

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

In article <Xns94B516EA2CBA0k5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Rasmus Bøg Hansen wrote in
><news:873c80l6c6.fsf@grignard.amagerkollegiet.dk>:
>
>> Er der nogen, der kender noget programmel til at overvåge den slags
>> aparte trafik, som ARP requests i den skala er (eller evt. ethernet
>> broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
>> med noget scripting - det virker bare umiddelbart klodset...
>
> Jeg er ikke helt sikker på om det er hvad du leder efter, men måske
> snort kan løse dit problem?
>
> http://www.snort.org/

Ja, eller tcpdump med filtre.

---

"Niels Callesøe" <pfy@nntp.dk> writes:

> Rasmus Bøg Hansen wrote in
> <news:873c80l6c6.fsf@grignard.amagerkollegiet.dk>:
>
>> Er der nogen, der kender noget programmel til at overvåge den slags
>> aparte trafik, som ARP requests i den skala er (eller evt. ethernet
>> broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
>> med noget scripting - det virker bare umiddelbart klodset...
>
> Jeg er ikke helt sikker på om det er hvad du leder efter, men måske
> snort kan løse dit problem?
>
> http://www.snort.org/

Jeg kiggede lidt på den, men den synes ikke at være i stand til at
lave ARP-alerts. Jeg får segfaults, når jeg prøver - og google
antyder, at det ikke er muligt.

Jeg har implementeret Kims løsning i stedet; det fungerer glimrende.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Vampires are not visible in mirrors, which explains why they are often
backed over in parking lots.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:

> Er der nogen, der kender noget programmel til at overvåge den slags
> aparte trafik, som ARP requests i den skala er (eller evt. ethernet
> broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
> med noget scripting - det virker bare umiddelbart klodset...

Det store problem på vores netværk var at nettet blev fyldt med
10Mbit/s broadcastet ARP-trafik, så hvis man sad på et WLAN eller med
en gammel 10Mbit/s hub/switch på sit værelse, blev nettet meget
langsomt at bruge. Så løsningen ved at søge på ARP gav god mening hos
os.

Vi kører følgende hack hvert andet minut og smider output i en logfil
som vi kigger igennem en gang om ugen:

tethereal -a duration:5 -n -R 'arp' -f 'not ether host 00:b0:d0:78:5f:16' 2> /dev/null |\
perl -ne'split;printf "%s %-14s\t\n",@_[1,-1]' |\
sort |\
uniq -c |\
awk '$1>20 { print }' |\
sort -n

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-´` -. ;:-. | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Tlf: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen <k-spam2003@oek.dk> writes:

> spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:
>
>> Er der nogen, der kender noget programmel til at overvåge den slags
>> aparte trafik, som ARP requests i den skala er (eller evt. ethernet
>> broadcasts)? Jeg kan selvfølgelig godt køre tcpdump el. lign. sammen
>> med noget scripting - det virker bare umiddelbart klodset...
>
> Det store problem på vores netværk var at nettet blev fyldt med
> 10Mbit/s broadcastet ARP-trafik, så hvis man sad på et WLAN eller med
> en gammel 10Mbit/s hub/switch på sit værelse, blev nettet meget
> langsomt at bruge. Så løsningen ved at søge på ARP gav god mening hos
> os.

Helt så meget har vi aldrig haft. Jeg mener vi har været oppe på
omkring 1Mbit/s ARP broadcast - men slemt nok til at gøre noget ved
det.

> Vi kører følgende hack hvert andet minut og smider output i en logfil
> som vi kigger igennem en gang om ugen:
>
> tethereal -a duration:5 -n -R 'arp' -f 'not ether host 00:b0:d0:78:5f:16' 2> /dev/null |\
> perl -ne'split;printf "%s %-14s\t\n",@_[1,-1]' |\
> sort |\
> uniq -c |\
> awk '$1>20 { print }' |\
> sort -n

Fantastisk. Det fungerer glimrende! Jeg takker og bukker.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Is it safe?
Yes, it is perfectly safe - it is us, that are in trouble!
- Hitch Hikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Kim Hansen <k-spam2003@oek.dk> wrote in message news:<87d67327ft.fsf@matrix.oek.dk>...
>
> Vi kører følgende hack hvert andet minut og smider output i en logfil
> som vi kigger igennem en gang om ugen:
>
> tethereal -a duration:5 -n -R 'arp' -f 'not ether host 00:b0:d0:78:5f:16' 2> /dev/null |\
> perl -ne'split;printf "%s %-14s\t\n",@_[1,-1]' |\
> sort |\
> uniq -c |\
> awk '$1>20 { print }' |\
> sort -n

Jeg har lavet et par rettelser til tethereal linjen, tilføj '-p' for
at undgå at få slået 'promiscuous mode' til, det sparer en masse
linjer i kern.log.
Hvis der er flere interfaces på maskinen er det en god ide kun at
lytte på dem hvor der kunne være virus, så jeg har også tilføjet '-i
eth0'.

Kim Hansen
--
Sendt via Google...

---

Nogen der kan forklare hvad et ARP request egentlig er?

ARP er så vidt jeg har forstået en oversigt af IP-adresser sammenholdt
med MAC-adresser, således der kan oversættes fra IP til MAC direkte
udenomkring en "scanning" efter IP'et!


Mvh / Preben (som endnu ikke har haft den del omkring netværk)

P.S. I hvilket lag i ISO-modellen ligger ARP?

---

Preben Holm <64bitNOSPAM@mailme.dk> writes:

> Nogen der kan forklare hvad et ARP request egentlig er?
>
> ARP er så vidt jeg har forstået en oversigt af IP-adresser sammenholdt
> med MAC-adresser, således der kan oversættes fra IP til MAC direkte
> udenomkring en "scanning" efter IP'et!

På et lokalt ethernet-segment, sendes al trafik (herunder IP) fra et
netkort til et bestemt andet netkort; kilde og destination angives som
netkortets MAC-adresse.

Som udgangspunkt kender to computere ikke hinandens MAC-adresser. De
bruger således ARP (Address Resulution Protocol) til at finde disse.

Således vil maskine A med MAC U og IP X ikke kende til maskine B med
MAC V og IP Y. Den vil derfor med ARP spørge sig for:

Jeg har MAC U og IP X. Hvilken MAC-adresse er knyttet til IP Y?

For at modtagermaskinen skal se denne forespørgsel, sendes denne til
"broadcast"-adresse, så alle maskiner på lokalnettet ser pakken.

De fleste maskiner på nettet vil nu ignorere denne forespørgsel, da
den ikke er rettet mod dem; B vil dog svare:

Jeg har MAC V og IP Y. Dette svar vil blive sendt til A's MAC-adresse
(U).

Nu ved de to maskiner, A og B, hvordan de kontakter hinanden. Netdelen
af kernerne kan nu sende IP-pakker til hinanden, da de nu kender
hinandens MAC-adresser.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

> På et lokalt ethernet-segment, sendes al trafik (herunder IP) fra et
> netkort til et bestemt andet netkort; kilde og destination angives som
> netkortets MAC-adresse.
>
> Som udgangspunkt kender to computere ikke hinandens MAC-adresser. De
> bruger således ARP (Address Resulution Protocol) til at finde disse.
>
> Således vil maskine A med MAC U og IP X ikke kende til maskine B med
> MAC V og IP Y. Den vil derfor med ARP spørge sig for:
>
> Jeg har MAC U og IP X. Hvilken MAC-adresse er knyttet til IP Y?
>
> For at modtagermaskinen skal se denne forespørgsel, sendes denne til
> "broadcast"-adresse, så alle maskiner på lokalnettet ser pakken.
>
> De fleste maskiner på nettet vil nu ignorere denne forespørgsel, da
> den ikke er rettet mod dem; B vil dog svare:
>
> Jeg har MAC V og IP Y. Dette svar vil blive sendt til A's MAC-adresse
> (U).
>
> Nu ved de to maskiner, A og B, hvordan de kontakter hinanden. Netdelen
> af kernerne kan nu sende IP-pakker til hinanden, da de nu kender
> hinandens MAC-adresser.

Ok, men gemmes MAC-adresserne efter et opslag ikke en given tid, t, i
systemets ARP-tabel!

---

Preben Holm <64bitNOSPAM@mailme.dk> writes:

> Ok, men gemmes MAC-adresserne efter et opslag ikke en given tid, t, i
> systemets ARP-tabel!

Jo. ARP-tabellen har typisk en timeout på et minut. Den kan
konfigureres - og man kan lave statiske indgange i ARP-tabellen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
There's no point in being grown up if you can't be childish sometimes.
-- Dr. Who
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:

> Jeg har i længere tid haft en del problemer med især blaster-ormen og
> dens varianter på 'mit' netværk. Den har for vane at scanne hele LAN
> igennem og forsøge at forbinde til port 135 på alle kørende maskiner.

Vi har på mit kollegie lavet noget software+scripts der finder
blastervirus, blokerer synderne i iptables og dirrigerer deres port 80
videre til en anden apache hvor de kan trykke på en "undskyld-knap".

Send mig en mail hvis du vil se det.

--
Mvh
Christoffer

---

Christoffer Olsen <christofferolsen@ninja.dk> writes:

> spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:
>
>> Jeg har i længere tid haft en del problemer med især blaster-ormen og
>> dens varianter på 'mit' netværk. Den har for vane at scanne hele LAN
>> igennem og forsøge at forbinde til port 135 på alle kørende maskiner.
>
> Vi har på mit kollegie lavet noget software+scripts der finder
> blastervirus, blokerer synderne i iptables og dirrigerer deres port 80
> videre til en anden apache hvor de kan trykke på en "undskyld-knap".
>
> Send mig en mail hvis du vil se det.

Jeg har efterhånden selv fået strikket en del scripts sammen til at
analysere logfiler; Kims forslag fungerer glimrende til at finde
Gaobot/Polybot. Problemet har ikke været stort nok til at jeg gad
opsætte automatiseret programmel; dog stort nok til at jeg ikke kunne
ignorere det...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:

> Jeg har efterhånden selv fået strikket en del scripts sammen til at
> analysere logfiler; Kims forslag fungerer glimrende til at finde
> Gaobot/Polybot. Problemet har ikke været stort nok til at jeg gad
> opsætte automatiseret programmel; dog stort nok til at jeg ikke kunne
> ignorere det...

Det kraever ikke saa forfaerdeligt meget. Jeg ville noedigt vise vores
system frem til den store program-snedker-eksamen, men det har haft en
fantastisk effekt at folk faar blokeret deres internetforbindelse :)

Da det var vaerst i starten af januar havde jeg et konstant load paa
mit netkort paa ca. 50-60K, det blev kureret paa et par dage.

Det blev aldrig til mere end at vores program scannede i ti min hver
time, men det var alligevel tilstraekkeligt til at al blasteraktivitet
forsvandt.

--
It's "Unix" if it has the "x" sound in its name - the Xbox must be Unix then.

- from a discussion on slashdot.org

---

Christoffer Olsen <christofferolsen@ninja.dk> writes:

> spam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:
>
>> Jeg har efterhånden selv fået strikket en del scripts sammen til at
>> analysere logfiler; Kims forslag fungerer glimrende til at finde
>> Gaobot/Polybot. Problemet har ikke været stort nok til at jeg gad
>> opsætte automatiseret programmel; dog stort nok til at jeg ikke kunne
>> ignorere det...
>
> Det kraever ikke saa forfaerdeligt meget. Jeg ville noedigt vise vores
> system frem til den store program-snedker-eksamen, men det har haft en
> fantastisk effekt at folk faar blokeret deres internetforbindelse :)

Ja, det er også min erfaring. Det er faktisk min erfaring, at det i de
fleste tilfælde er det *eneste* der virker. Ensjælden gang, virker
selv det ikke - jeg blev sågar forleden ringet op af en, der
hårdnakket påstod, at han intet gjorde galt - en hurtig kontrol af
hans indstillinger, viste at hans indstillinger var forkerte.

Som sagt klarer vi os fint med manuel håndtering af virusproblemer
ol. Den af Kim præsenterede løsning på Blaster-problemet fungerer
glimragende. Idet vi får ryddet op i folk med virus, er det typisk en
enkelt i ny og næ (og så nogle få 'bølger'), så det er ikke et stort
arbejde...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Finally someone more paranoid than me...
----------------------------------[ moffe at amagerkollegiet dot dk ] --