Froggy schreef:
Zijn er nog mensen waar dit zich voordoet? Bij alle Telenet-klanten (met een modem-only toestel) misschien?
Ja. Iedereen met modem-only zal wel ontdekt hebben dat de WAN-poort toch wel bijzonder actief is, ook als het rustig is op het LAN, en wie een beetje interesse heeft zal wel al eens tcpdump gedraaid hebben om te zien wat daar gebeurt. Ook klanten met HGW krijgen die ARP pakketten maar die gaan dat niet zo snel observeren daar de coax-connector niet knippert uiteraard.
Bij mensen waarbij ik de Digicorder interactief+DLNA achter modem-only met VLAN configureer zie ik al die pakketten nog downstream gaan tot de switch van de Digicorder, dan zie je daar zo'n 5-poort unmanaged switch die op 2 poorten dag en nacht naarstig ledjes knippert.
Froggy schreef:Dit lijkt toch op een serieuze netwerk configuratiefout van een netwerktoestel bij Telenet.
Zoals je zelf al aanhaalt is dit al heel lang het geval en regelmatig gedocumenteerd. Ik heb het persoonlijk nooit anders geweten op mijn modem-only aansluiting. Een fout zal het dus wel niet zijn, de broadcast domains zullen groot zijn bij design. Ik vraag me wel af wat de grenzen van die broadcast domains zijn. Is dat op het niveau van de nodekasten, of erger (kopstation)?
Voor de eindgebruiker maakt het niet uit, performantie lijkt er niet onder te lijden, en dit verkeer wordt niet aangerekend aan de Telemeter. AFAIK is dit trouwens ook het geval bij Ziggo NL waar ze een sterk gelijkaardig netwerk uitbaten.
Froggy schreef:
Terzijde: in de ARP requests worden o.a. IP-adressen opgevraagd waarvan de hostnaam eindigt op access.telenet.be (lijken me IP-adressen voor internet toegang). We hebben zelf geen internet van Telenet maar als hier een IP-adres van een buur of kennis bij staat, zou ik via onze Telenet modem een (VPN-)verbinding hiernaar kunnen opzetten en zo gratis (=abonnement van iemand anders delen) kunnen internetten
Ja, voor zover zoiets niet gefilterd zou worden. Je ziet afaik enkel maar die ARP pakketten en anders nooit eens iets van broadcast-probe van een andere aansluiting op het TN-netwerk. Maar uiteraard gebeurt dit niet door de verdeeldozen in de straten, dus voor iemand die heel dichtbij zou dit mogelijks kunnen werken.
Ook met ARP-spoofing zou je een en ander kunnen doen.
In principe is er ook een mogelijkheid tot een totale DDoS van het Telenet-netwerk door via een malware op honderden CPE-routers ARP's te beginnen spammen, doch in de praktijk zou dit enkel bij infectie van de HGW een probleem zijn, de varieteit van routers achter modem-only aansluitingen is immers erg groot dus een kritische massa vinden die vatbaar is voor deelname aan een ARP storm zal wel niet voor de hand liggen.
