Как узнать, что вызывает такое поведение сети?

Вопрос или проблема

ISP (192.168.0.254) à XX:XX:XX:XX:XX:XX [ether] на eno1
? (192.168.0.231) à <недостаточно данных> на eno1
? (192.168.0.6) à <недостаточно данных> на eno1
? (192.168.0.11) à <недостаточно данных> на eno1
? (192.168.0.190) à <недостаточно данных> на eno1
? (192.168.0.12) à <недостаточно данных> на eno1

AnotherMachine.local (192.168.0.119) à XX:XX:XX:XX:XX:XX [ether] на eno1
? (192.168.0.147) à <недостаточно данных> на eno1
? (192.168.0.126) à <недостаточно данных> на eno1
? (192.168.0.202) à <недостаточно данных> на eno1
? (192.168.0.102) à <недостаточно данных> на eno1
? (192.168.0.101) à <недостаточно данных> на eno1
? (192.168.0.143) à <недостаточно данных> на eno1

Ответ или решение

Чтобы определить, что вызывает нежелательное сетевое поведение на вашем компьютере с Ubuntu 24.04.1 LTS, где происходит попытка доступа к несуществующим машинам в локальной сети, необходимо выполнить несколько последовательных шагов. В данном ответе будет представлено подробное руководство по анализу ситуации и принятию мер для ее устранения.

1. Анализ сетевой активности

Первоначально нужно собрать информацию о текущей сетевой активности и определении процессов, вызывающих запросы к несуществующим адресам. Сделаем это с помощью нескольких инструментов.

1.1 Использование утилиты netstat

Эта утилита позволяет получить информацию о соединениях и прослушиваемых портах:

sudo netstat -tuln

Вывод даст вам информацию о том, какие программы в настоящее время используют сетевые порты.

1.2 Установка и использование lsof

Убедитесь, что lsof установлен:

sudo apt install lsof

Затем используйте следующую команду для поиска соединений, которые могут активировать ARP-запросы:

sudo lsof -i -nP

Эта команда покажет список всех процессов, использующих сетевые соединения, без разрешения DNS для IP-адресов.

2. Мониторинг сетевого трафика

Для более глубокого анализа сетевого трафика используйте tcpdump или wireshark.

2.1 Установка tcpdump

Если вы еще не установили tcpdump, выполните:

sudo apt install tcpdump

Для мониторинга ARP-запросов запустите следующую команду:

sudo tcpdump -i eno1 arp

Эта команда позволит вам увидеть все ARP-запросы, которые отправляются с вашего устройства, а также ответы на них.

3. Проверка и анализ настроек сети

Не забудьте проверить конфигурацию сетевых настроек и службы, которые могут вызывать эту активность. Например, DHCP-клиенты, службы обнаружения устройств и т. д.

3.1 Обзор конфигурации

Откройте файлы конфигурации вашей сети, например /etc/network/interfaces или используйте nmcli для проверки конфигурации NetworkManager. Убедитесь, что нет неправильных параметров, которые могли бы привести к этой сетевой активности.

4. Проверка на наличие вредоносного ПО

Иногда причиной могут быть вредоносные приложения.

4.1 Использование rkhunter или chkrootkit

Установите и запустите инструменты для проверки на руткиты:

sudo apt install rkhunter
sudo rkhunter --check

Или:

sudo apt install chkrootkit
sudo chkrootkit

Эти проверки помогут определить наличие подозрительных процессов.

5. Ограничение доступа и дополнительная безопасность

Если вы выяснили, что какое-то приложение вызывает нежелательное поведение, необходимо принять меры для ограничения его действия.

5.1 Блокировка доступа через iptables

Вы можете использовать iptables для блокировки определённых узлов или адресов:

sudo iptables -A OUTPUT -d 192.168.0.0/24 -j DROP

Заключение

Выявление причин сетевого поведения требует систематического подхода и использования различных инструментов диагностики. Правильный анализ и мониторинг помогут вам локализовать проблему и принять необходимые меры для её устранения. Если все вышеперечисленные шаги не помогли, рекомендуется обратиться к специализированным IT-экспертам для дополнительной помощи.

Проведите процесс диагностики с особой внимательностью, чтобы избежать дополнительных проблем в вашей сети.