arp-таблица левые адреса

[yoricI]

Здравия!
Домашняя сеть, маршрутизатор, компьютер напрямую, планшет и смартфон через wifi. Все с правильными данными и именами. А откуда много incomplete?
$ arp Address HWtype HWaddress Flags Mask Iface 192.168.0.31 (incomplete) enp1s0 HUAWEI_MatePad_T-e86803 ether d0:b4:5d:b6:95:0d C enp1s0 Hastronom.mia ether 94:92:bc:16:38:b5 C enp1s0 192.168.0.104 (incomplete) enp1s0 192.168.0.177 (incomplete) enp1s0 192.168.0.120 (incomplete) enp1s0 192.168.0.6 (incomplete) enp1s0 192.168.0.2 (incomplete) enp1s0 192.168.0.14 (incomplete) enp1s0 192.168.0.10 (incomplete) enp1s0 192.168.0.30 (incomplete) enp1s0 192.168.0.160 (incomplete) enp1s0 192.168.0.103 (incomplete) enp1s0 192.168.0.42 (incomplete) enp1s0 192.168.0.119 (incomplete) enp1s0 192.168.0.54 (incomplete) enp1s0 192.168.0.5 (incomplete) enp1s0 192.168.0.1 (incomplete) enp1s0 192.168.0.9 (incomplete) enp1s0 head.mia ether c0:4a:00:50:cf:fd C enp1s0 192.168.0.102 (incomplete) enp1s0 192.168.0.33 (incomplete) enp1s0
И кстати, компьютер свой адрес не показывает, так и надо?

[Bizdelnick]

А откуда много incomplete?

Были попытки отправки пакетов на эти адреса, но на ARP-запрос ответа не пришло.

компьютер свой адрес не показывает, так и надо?

А зачем ему? Себя он найдёт и не глядя в таблицу

[yoricI]

Были попытки отправки пакетов на эти адреса

Кто посмел?))
Своё ПО (с компа и планшетов) в своей сети вроде не должно, чужоё не сможет проникнуть (кабель отпадает, WIFI WPA2.

[Bizdelnick]

Своё ПО (с компа и планшетов) в своей сети вроде не должно, чужоё не сможет проникнуть (кабель отпадает, WIFI WPA2.

С того компа, на котором таблицу смотрите.

[yoricI]

Странно, лично я их не пинговал (попробовал несуществующий, отразилось в таблице). qbittorrent, telegram-desktop, firefox и прочие - кто это мог и зачем? Не будем про вирусы))

[Zer0]

кто это мог и зачем?

Может iptraf-ng запустить и посмотреть?

[yoricI]

Это может за месяц набралось, сколько сидеть пялиться в монитор? Вот если б можно его с логгированием запустить, чтоб сам висел и месяц мониторил... А можно?

[olecya]

Это может за месяц набралось

Вроде время жизни таблицы минутами определяется

[Zer0]

Это может за месяц набралось

не смотря на верное замечание

время жизни таблицы минутами определяется

sudo ip -s -s neigh flush all, подождать и arp -a, если таблица incomplete записями быстро не заполнится - попытаться подрубиться с своему вайфаю с левым паролем n раз и опять arp -a. Может дети балуются...
upd: Вместо своего компа подключить другой(свой отключить от сети), заменить роутер.

[yoricI]

Вроде время жизни таблицы минутами определяется

10 минут висит уже неизменна, тоже грустно от такого срока.

Полчаса висит неизменна. Может у меня где с таймаутом этим беда, ядро самосборное.
Час без изменений. Вот-то то и оно.

ip -s -s neigh flush all

В мане таких букв нет, он от 2011года. Пойду-ка я настучу, чтоб документацию освежили.

Наблюдения продолжу.

[yoricI]

Несколько часов висит. Единственное изменение, что у Гастронома сбросился MAC. Так что все эти левые вполне могли бы и заходить на этот комп. А откуда они берутся во внутр сети - может через wifi, или даже через кабель. Надо пасти маршрутизатор.
$ arp -a ? (192.168.0.131) at <incomplete> on enp1s0 Hastronom.mia (192.168.0.169) at 94:92:bc:16:38:b5 [ether] on enp1s0 head.mia (192.168.0.155) at c0:4a:00:50:cf:fd [ether] on enp1s0 ? (192.168.0.106) at <incomplete> on enp1s0 ? (192.168.0.104) at <incomplete> on enp1s0 globus@aspera ~ $ arp -a ? (192.168.0.131) at <incomplete> on enp1s0 Hastronom.mia (192.168.0.169) at <incomplete> on enp1s0 head.mia (192.168.0.155) at c0:4a:00:50:cf:fd [ether] on enp1s0 ? (192.168.0.106) at <incomplete> on enp1s0 ? (192.168.0.104) at <incomplete> on enp1s0

[/dev/random]

Так что все эти левые вполне могли бы и заходить на этот комп.

Если бы эти "левые адреса" заходили на ваш комп, то там был бы их MAC-адрес, а не "incomplete". К этим адресам ваш комп попытался подключиться (не наоборот!), но оказалось, что их не существует. Вероятнее всего, виноват torrent-клиент. Получил от трекера или от других пиров список пиров, в который попали локальные адреса в чьей-то чужой локалке, попытался обратиться к ним в вашей, не нашёл и забил на них. А попытка обращения отразилась в arp-таблице.

[yoricI]

Хорошо, если бы так. Но вот рассмотрим строку в обеих выдержках выше:

Код: Выделить всё

Hastronom.mia (192.168.0.169) at 94:92:bc:16:38:b5 [ether] on enp1s0

Это я попытался на смартфоне ConnectBot-ом подключиться к этому компу по ssh, намеренно ввёл неверный пароль и отключился.

Код: Выделить всё

Hastronom.mia (192.168.0.169) at <incomplete> on enp1s0

Она же спустя несколько минут, ну может 10-15-30. А может как wifi на смартфоне отключил. А таблица в том же виде так и висит до сих пор.

Добавлено (13:25):

Залогинился и вышел, посмотрим, когда сбросит.
arp -a ? (192.168.0.131) at <incomplete> on enp1s0 Hastronom.mia (192.168.0.169) at 94:92:bc:16:38:b5 [ether] on enp1s0 head.mia (192.168.0.155) at c0:4a:00:50:cf:fd [ether] on enp1s0 ? (192.168.0.106) at <incomplete> on enp1s0 ? (192.168.0.104) at <incomplete> on enp1s0

[Zer0]

с таймаутом этим беда

Это вролне возможно, у нас на работе когда перешли на "умные" коммутаторы - первым делом запороли ARP, таймаут настолько мал, что таблицы вообще нигде не заполнялись. Поэтому, заменить

ядро самосборное

на ядро с настройками по умолчанию, считаю хорошей идеей.

Добавлено (14:41):

В мане таких букв нет

man ip-neighbour

[yoricI]

Залогинился и вышел, посмотрим, когда сбросит.

До сих пор не сбросило.

на ядро с настройками по умолчанию, считаю хорошей идеей.

Попробую с флешки какую-нить живую систему запустить. А так, могли и изменить поведение по-тихому, может сбрасываются по заполнении.

man ip-neighbour

А как переводится в данном контексте "neighbour"? По словарям выходит - сосед, соседка, ближний, а "neigh" - так вообще ржание))

[Bizdelnick]

А как переводится в данном контексте "neighbour"? По словарям выходит - сосед, соседка, ближний

Так и переводится. Сосед по локалке.