• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Unitymedia CMTS sendet ARP Anfragen an Anschluss

Diskutiere CMTS sendet ARP Anfragen an Anschluss im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Hallo! Seit Wochen beobachte ich dass mein für mich zuständiges CMTS ARP Requests via Broadcast an meinen Anschluss schickt. Dabei laufen ca. 100...
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #1

rv112

Beiträge
4.991
Punkte Reaktionen
366
Hallo!

Seit Wochen beobachte ich dass mein für mich zuständiges CMTS ARP Requests via Broadcast an meinen Anschluss schickt. Dabei laufen ca. 100 kbit/s Traffic auf, bzw. rund 40-50 Anfragen pro Sekunde. Eine Anfrage sieht dabei so aus:
Code:
11	0.026159	Cadant_6b:xx:xx	Broadcast	ARP	60	Who has 37.209.65.171? Tell 37.209.64.1

Leider bin ich dagegen Machtlos. Kann das ebenfalls jemand beobachten?
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #2
Ist bei einem CMTS völlig normal. Deal with it.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #3
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #4
Mir war das zuvor nie aufgefallen.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #5
ARP-Traffic ist zwar völlig normal, aber 50 Requests pro Sekunde? An meinem inaktiven HFC-Anschluß liefen zuletzt 8-9 MB Traffic pro Tag auf. Also unter 1 kbps im Durchschnitt.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #6
Ne, hier laufen massig an Requests auf. Im Schnitt 100 kbit/s Traffic.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #7
Je nachdem, wie viele Modems von einem CMTS bedient werden, gibt es mehr oder weniger ARP Traffic. Wenn ein normales Modem (TC4400) ohne integriertes Gateway (ConnectBox) verwendet wird, bekommt man das mit.

Wenn jetzt jemand ganz erstaunt ist, wenn es auch mal 100 kbit/s an ARP Traffic sind oder vielleicht sogar mehr. Iss so. Kann man auf Providerseite mit verschiedenen Ansätzen vorgehen aber das interessiert so gut wie keinen. Ausser den Leuten, die von ihrer verwöhnten Switched Ethernet Welt kommen ;)
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #8
Prinzipiell könnte natürlich auch ein Fehler vorliegen oder vielleicht auch eine DoS-Attacke auf das CMTS. Um das als Kunde zu ermitteln, müsste man den DOCSIS Management-Traffic analysieren, um herauszufinden, wie viele Kabelmodems es in dem Segment gibt, und dann analysieren, ob die ARP-Requests damit korrelieren, oder ob da z.B. erheblich mehr IPv4-Adressen gesucht werden als es Kabelmodems gibt, was ein Hinweis darauf wäre, dass da falsche ARP-Requests ins Segment gesendet werden.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #9
Prinzipiell könnte natürlich auch ein Fehler vorliegen oder vielleicht auch eine DoS-Attacke auf das CMTS. Um das als Kunde zu ermitteln, müsste man den DOCSIS Management-Traffic analysieren, um herauszufinden, wie viele Kabelmodems es in dem Segment gibt, und dann analysieren, ob die ARP-Requests damit korrelieren, oder ob da z.B. erheblich mehr IPv4-Adressen gesucht werden als es Kabelmodems gibt, was ein Hinweis darauf wäre, dass da falsche ARP-Requests ins Segment gesendet werden.

Keine so gute Idee. Das IP Interface, welches die IP Adressen hält, versorgt weit mehr Segmente bzw. Mac Domains. Also nicht nur das eigene Segment. Aus diesem Grund sieht man z.B. auch die ARP Requests aus anderen Segmenten bzw. Mac Domains, welche vom CMTS über das selbe IP Interface versorgt werden.
Wenn so ein CMTS dann 10.000, 20.000, 30.000 Modems versorgt, gibt es eine Menge ARP Requests.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #10
Ich würde 30 GB ARP-Traffic pro Monat trotzdem erstmal als ungewöhnlich einstufen. Das ist ja mehr, als ich teilweise als Nutztraffic habe.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #11
Ich hatte immer schon viel arp traffic auf der Leitung…
Code:
<i>
</i>¯\(°_o)/¯ root@colossus:~ $ timeout 1m tcpdump -nn -i eth0 -w /dev/null arp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16914 packets captured
16927 packets received by filter
0 packets dropped by kernel
Bei 46 bytes (ohne padding) pro arp wären das dann ~760KiB pro Minute, also auch ca. 30GiB pro Monat.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #12
Keine so gute Idee. Das IP Interface, welches die IP Adressen hält, versorgt weit mehr Segmente bzw. Mac Domains. Also nicht nur das eigene Segment. Aus diesem Grund sieht man z.B. auch die ARP Requests aus anderen Segmenten bzw. Mac Domains, welche vom CMTS über das selbe IP Interface versorgt werden.
Wenn so ein CMTS dann 10.000, 20.000, 30.000 Modems versorgt, gibt es eine Menge ARP Requests.
Also mein CMTS in Berlin dürfte sicherlich ein "größeres" sein, aber ich habe nicht den Eindruck, dass derartige Massen von ARP-Requests hier hereinkommen.

Ich verstehe auch nicht, warum das CMTS nicht filtern können sollte, und einen ARP-Request nur in das Segment schickt, in welchem die MAC-Adresse, welcher diese IP-Adresse zuletzt zugewiesen wurde, zu finden ist. Diese Information muss ja stets durch das CMTS durch.

So verstehe ich auch den Punkt im DOCSIS-Standard, dass das CMTS als "ARP Proxy" fungieren soll, genau um eben die ARP-Requests zu filtern.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #13
Völlig normal. Kurze Momentaufnahme an meinem Anschluss (gemittelt über 5 Minuten):
ARP-Requests: 363/s
~ 134 kbit/s (368 Bit (46 Byte) pro ARP-Request)
~ 40,3 GiB/Monat
Sind bei einem 150Mbps-Anschluss ca. 0,1% der gebuchten Bandbreite. Also entspannt bleiben. :schnarch:

Dabei laufen ca. 100 kbit/s Traffic auf, bzw. rund 40-50 Anfragen pro Sekunde.
Das passt irgendwie nicht zusammen. Das wären 250 - 300 Byte pro ARP-Request.
An meinem inaktiven HFC-Anschluß liefen zuletzt 8-9 MB Traffic pro Tag auf. Also unter 1 kbps im Durchschnitt.
Dann wohnst Du entweder in einer sehr ruhigen Gegend :D ... oder Du erfasst die eingehenden Broadcasts auf dem WAN-Interface nicht.
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #14
Die Gateways fragen regelmäßig die IP-Adressen ihres Netzes ab – was sie auch sollen[1] –, aber mangels Netztrennung bekommt man die arps von jedem Gateway des Segments mit.
Code:
<i>
</i>¯\(°_o)/¯ root@colossus:~ $ tcpdump -nn -r arp.pcap | awk '/who-has/{print $7}' | sort | uniq -c
reading from file arp.pcap, link-type EN10MB (Ethernet) 76 10.131.128.1, 6 10.195.208.1, 98 10.2.16.1, 18 10.248.64.1, 16 10.248.88.1, 6 10.251.152.1, 6 10.251.184.1, 20 10.4.112.1, 12 10.42.48.1, 46 109.90.236.1, 788 178.202.152.1, 5756 88.152.120.1, 2 88.152.120.25, 6896 95.222.136.1, 1300 95.223.232.1, 1866 95.223.236.1,
Aber: Innerhalb einer Minute wurden teilweise bis zu 24 arp requests pro IP-Adresse gesendet:
Code:
<i>
</i>¯\(°_o)/¯ root@colossus:~ $ tcpdump -nn -r arp.pcap | cut -c17- | sort | uniq -c | sort -nr | head
reading from file arp.pcap, link-type EN10MB (Ethernet) 24 ARP, Request who-has 95.222.142.222 tell 95.222.136.1, length 46 24 ARP, Request who-has 88.152.127.104 tell 88.152.120.1, length 46 22 ARP, Request who-has 95.223.239.191 tell 95.223.236.1, length 46 22 ARP, Request who-has 95.223.238.38 tell 95.223.236.1, length 46 22 ARP, Request who-has 95.223.232.196 tell 95.223.232.1, length 46 22 ARP, Request who-has 88.152.127.82 tell 88.152.120.1, length 46 22 ARP, Request who-has 88.152.126.9 tell 88.152.120.1, length 46 22 ARP, Request who-has 88.152.126.223 tell 88.152.120.1, length 46 22 ARP, Request who-has 88.152.125.224 tell 88.152.120.1, length 46 22 ARP, Request who-has 88.152.125.210 tell 88.152.120.1, length 46
was imho ziemlich ungesund ist. Das ist entweder eine Fehlkonfiguration oder auf den Gateways läuft irgendwas, was am arp cache vorbeiläuft (oder ihn aus irgendwelchen Gründen nicht nutzen will).
Man könnte ja mal einen arpsponge ins Netz stellen und gucken, was passiert :naughty:

[1] ich könnte mir vorstellen, daß man die arptable auch aus den Informationen des DHCP-Servers füllen könnte
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #15
BTW, `sort -V` eignet sich hervorragend für IP-Adressen :)
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #16
Sind bei einem 150Mbps-Anschluss ca. 0,1% der gebuchten Bandbreite. Also entspannt bleiben. :schnarch:
Warum sollten Broadcasts im Kabelsegment von der gebuchten Bitrate eines Anschlusses abgezogen werden...? Der Management-Traffic wird das ja auch nicht...
 
  • CMTS sendet ARP Anfragen an Anschluss Beitrag #17
Thema:

CMTS sendet ARP Anfragen an Anschluss

CMTS sendet ARP Anfragen an Anschluss - Ähnliche Themen

Unitymedia Cisco EPC3208 verliert immer Verbindung -> Vodafone Station als Lösung? (DOCSIS 3.1 schuld?): Nabend! Ich habe seit 25.11. plötzlich ein massives Problem mit meinem Anschluß, und könnte etwas Aufklärung von Insidern brauchen bevor ich zur...
Unitymedia Problem. Router/Modem Defekt oder Ping/Ddos attacken?: Hallo, vorab möchte ich klar stellen das meine Anfrage erst nach Gründlicher Recherche hier eingereicht wurde. Ich habe mich durch etliche Foren...
Unitymedia UnityMedia - ARP Broadcasts auf Router: Hallo zusammen, ich habe in letzter Zeit immer öfter Probleme mit meinem UnityMedia Anschluss. Wir nutzen in der Firma das Internet-Paket 150...
Unitymedia Cisco EPC3212 Problem: Hallo! I know it is most likely against the Forum Rules posting in English, however I am from Australia and my German Language skills are not...
Unitymedia Wenn Kundenservice klein geschrieben wird!: Hallo zusammen! Seit einem Monat habe ich jetzt einen Anschluss bei Unitymedia und versuche nun seit dem Tag des Anschlusses ein anderes Gerät als...
Oben