FUJI XEROXプリンタのポート111ブロードキャスト

mon arp

再起動(省電力復帰?)時にLANのブロードキャストアドレス(255.255.255.255ではない)のUDPポート111(RPC)にブロードキャストを行う. Portmap V3 CALLIT Callの後Portmap V2 CALLIT Call,4秒後にこれらを再送.計4パケットが発信される. RPCブロードキャストによ…

2007-03-13

skype

mon arp

skypeの音声通信では1時間に100から150の機械と通信しその数は急激に増減しない. skype起動状態でデフォルトゲートウエイの設定されていない機械が接続されたときのARP発行の様子をgraphvizのdotで視覚化したもの. 赤は本来現れるはずのない外部アドレス.四…

2007-02-03

沖電気のプリンタ

mon arp

沖電気のプリンタにはWINSブロードキャストパケットを受け取ると発信者の情報を調べるためかスキャンを行うものがある. ARPの発行関係をグラフ化するとウィルスバスター2006のLANパトロール機能の場合とよく似た状態になっていて,LISaなどの無差別なポートス…

2007-01-06

ARP地図のクラスタリング

arp graphviz

1日分のARP発行数を集計し,発行数を擬似的にフローとみなして上記のmclによりマルコフクラスタリングを行ったもの. エッジを1日に50回以上ARPを発行しているものに限ってgraphvizのdotによりグラフ化.LAN内の機械同士の関係性を調べる. クラスタリング後ク…

2006-12-29

Lavie-G

mon arp

NEC製ノートPC,カスタマイズの幅が広い事が特徴らしい.AirTVというテレビチューナーユニットを持つ機種もあり,このAirTVはアクセスポイントにもなっているらしい. 所属ネットワークのブロードキャストアドレス(255.255.255.255ではない)のUDPポート40116(送…

2006-12-13

ウィルスバスター2007の無線LANパトロール

mon trend arp

ウィルスバスター2007の無線LANパトロール機能を有効にし30分毎に自動でパトロールする設定にしておいた場合,同一LAN内で過去にARPパケットを受信して判明した活動中のIPアドレスのUDPポート137番をスキャンし,NetBIOSホスト名等を収集する. ウィルスバスタ…

2006-12-09

ネームサーバーとして登録されているプリンタ

mon arp

新しくIPアドレスが与えられたプリンタがLAN外部のアドレスに対して多数のARPを発行し始める. 現象としてはゲートウェイが設定されていないプリンタが多数のICMP不到達メッセージを受けた場合に似ているが,非常に発行数が多い. 参照 ARP発行の様子をgraphviz…

2006-12-04

送信者詐称メッセンジャーポップアップ広告

mon arp

3日22時頃詐称されたアドレスには一斉に多くの広告を拒絶したアドレスからICMP不到達パケットが到着する.プリンターの中にはデフォルトゲートウェイが設定されていないか意味のないアドレスが設定されているものがあり,ICMPパケット到着時に何らかの返答を…

2006-11-01

LISa(?)

mon arp

TurboLinuxにもネットワークスキャナLISaが搭載されているらしい http://www.turbolinux.co.jp/dcforum/DCForumID11/7760.html ARPの発行数を1回のみに絞ってgraphvizのdotによってグラフ化したもの.多数のアドレスにARPを発行しているため拡散するエッジを…

2006-10-29

ブロードキャストPing

mon arp

255.255.255.255などのブロードキャストアドレスにICMPエコー要求を送ったものがいる場合,受手の中で何らかの反応を返すものがARPを発行するため,ARP発行関係をgraphvizのdotで有向グラフマップにしてみると上から下へ集中するエッジになる. ほとんどのMacOS…

2006-10-17

Dell Network Assistant

mon arp

最近のDell製Windows機に標準で搭載されている.デフォルトで起動するネットワーク接続環境を調査設定してくれるソフトウエアらしいが,同時にポートスキャナーでもある. UDP 161(SNMP), TCP 139,TCP 445, UDP137,138 UDP 10421, UDP 10426, をほぼこの順番で…

2006-10-15

ブロードキャストアドレスの間違いとCISCO製スイッチの反応

mon arp cisco

一部のCISCO製スイッチがブロードキャストアドレスを間違えて設定されたパケットを受け取った場合のARPの様子.プリンタ(黄)が未設定状態でブロードキャストアドレスが正しくないポート137ブロードキャストパケットを発信しているため,CISCOスイッチ(マゼンタ…

2006-10-12

MacOfficeのライセンス(?)確認パケット

mon arp

UDP:2222をブロードキャストで叩く.宛先は255.255.255.255diamondとinvtriangleのノードが共通の集中エッジを持つのは半分はこの影響(?)

2006-10-09

Vistaのプリンタ検索がポートスキャンとして検知される

mon arp

Windows Vista(RC1)にプリンターを検索させると自分の属するネットワークの全てのIPアドレスのUDPポート161(SNMP)にスキャンを行うらしい. パケットの内容は SNMPv1 GetNextRequest .1.3.6.1.2.1.43 .1.3.6.1.2.1.43はprintermib コミュニティ名はpublicに決…

2006-10-03

ウィルスバスター2007の無線LANパトロール

trend arp

2006の無線LANパトロール機能はARPを受信した時にIPアドレスのみを記録していたらしく,NetBIOS名を調べるためUDP137にスキャンをかけるときには自分がARPを発行していた. 2007ではIPアドレスに加えてEtherアドレスも記録することにした(?)のか,自分からはARP…