<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Andy Kosela wrote:
<blockquote
 cite="mid:3cc535c80712230938v263f671j27c4e0cd8416e0ae@mail.gmail.com"
 type="cite">
  <pre wrap="">On Dec 23, 2007 3:00 PM, michael <a class="moz-txt-link-rfc2396E" href="mailto:lists@genoverly.net"><lists@genoverly.net></a> wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">On Sat, 22 Dec 2007 18:19:26 -0500
Max Gribov <a class="moz-txt-link-rfc2396E" href="mailto:max@neuropunks.org"><max@neuropunks.org></a> wrote:

    </pre>
    <blockquote type="cite">
      <pre wrap="">So my cable connection is really slow. Calling Road Runner is
pointless, because ive already turned off and on my cable modem.
So i decided to tcpdump on the wire directly from cable modem to my
laptop. Heres some interesting tcpdump..

      </pre>
    </blockquote>
    <pre wrap="">[snip]
    </pre>
    <blockquote type="cite">
      <pre wrap="">we can see arp requests by rr.com router for someone called
cpe-68-174-122-163.nyc.res.rr.com. OK i can understand that, even if
it makes those requests several times a second making my connection
crap. What i dont understand is how mindspring.com got there.
Obviously, im lacking knowledge of cable networks to comprehend
something this crazy. And more to the point of why rr sucks:

      </pre>
    </blockquote>
    <pre wrap="">[snip]
    </pre>
    <blockquote type="cite">
      <pre wrap="">look at the times of those arps. Now consider the fact that their
network is doing this all the time, at least today - dozens of arp
requests per second.

I guess besides complaining about paying for crappy service, can
anyone shed light on why would i see so much arp traffic, and why
would there be mindspring arp traffic?..

Just venting, really.. happy holidays!
      </pre>
    </blockquote>
    <pre wrap="">
I noticed the same thing here, when I first got my hookup.  There was
a lot of mindspring and earthlink arp traffic.  I just did a quick dump
this morning (I dumped with -n to prevent dns traffic) and found around
1000 arp requests in 60 seconds.  A little grep, awk, and sort shows
that it is concentrated to only a few sources.

I also found (well, google found) that we are not the first ones to
notice and it is not specific to our geography.
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Using cable modem means you share a network with all other
subscribers. In concept it's very similar to LAN network - that's why
you see all those ARP's.
Cable modems are transmitting Ethernet broadcast packets to every
subscriber on the neighborhood - this is definetly a big security
risk. In LAN's
the way to prevent those type of broadcast flooding is to employ
VLAN's logically separating traffic.

The ARP problem will be solved by the next-generation cable modems
that implement the DOCSIS 1.1 protocol. Instead of broadcasting ARP
packets over the entire cable segment, DOCSIS 1.1 makes sure that each
customer will only see the ARP messages intended for his or her
machine. As an added protection, DOCSIS 1.1 is also capable of
encrypting all information sent over the cable itself, with a separate
encryption key for each customer. This security measure prevents an
attacker from splicing their own cable modem into the backbone, the
way that some people used to hook up unauthorized cable decoders to
get free cable TV service.</pre>
</blockquote>
<br>
The CM (Cable Modem) does alot more interesting communications that you
might not be aware of than this example.<br>
<br>
The broadcast traffic is completely normal, even in 1.1. And that is
not what's effecting the speed issues.<br>
Actually, they're (Time Warner, and everyone else) already up to 1.1,
and implementing 2.0 in some areas.<br>
The security features are optional and administratively burdensome. So,
there's still alot of 1.1 deployment that doesn't turn it on.<br>
<br>
Max's problem is probably related to Cable Modem or line issues.<br>
You can probably pull diagnostics up on 192.168.100.1 though its not
going to say much of anything useful to you.<br>
Time Warner had serious issues over the past 2 weeks throughout the
North East, and specifically in NYC.<br>
If all that happened is it "slowed down" for you, consider yourself
lucky.<br>
Mine and many others were out for a week. (Thankfully, I have Optimum
at the other house, so spent the time there.)<br>
Locally, the most you can do is check the RF power signal and noise
levels and be certain your layer 1 gear & layout is ok (cable,
connectors, taps / splitters / amplifiers).<br>
<br>
I've always found my Cable Modem fascinating. Mainly, because it's
shrouded in so much mystery.<br>
The DOCSIS specification itself stipulates that IP and ethernet
bridging operate transparently to CM/CMTS host communications, and that
you and I (as the users) are not to have access to the Control or
Management interfaces. You might get read access through the ethernet
interface, but you won't get write access.<br>
Read/Write access is only available via the RF and on-board test
interfaces.<br>
You may find an on-board TTL interface that with a TTL-to-Serial
adapter will give CLI access to the (probably) vxworks OS.<br>
There should also be a JTAG port for directly accessing the boards
components.<br>
<br>
All very appealing to the rebel in me. But there's good reason for
these end user restrictions.<br>
While it's nice to get in there and play around for shits &
giggles. I wouldn't want every twit out there wrecking havoc on my
Cable segment.<br>
While uncapping is not possible in most providers networks anymore
(Traffic Shaping, duh!), there's still a good bit of trouble you can
cause if you wanted to.<br>
<br>
One interesting project I've not gotten around to yet (still looking
for the part: DOCSIS PCI card with linux / bsd drivers) is building an
NSM box with a RF / DOCSIS interface tapped into the coax before the CM.<br>
Then, not only could you monitor the IP and bridged ethernet traffic
that reaches the eth port, but also the control and management CM/CMTS
host traffic that's only visible via the RF port.<br>
<br>
CM & CMTS:<br>
<a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/Cable_modem">http://en.wikipedia.org/wiki/Cable_modem</a><br>
<a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/CMTS">http://en.wikipedia.org/wiki/CMTS</a><br>
<br>
Specifications:<br>
<a class="moz-txt-link-freetext" href="http://www.cablemodem.com/">http://www.cablemodem.com/</a><br>
<a class="moz-txt-link-freetext" href="http://www.cablemodem.com/specifications/specifications11.html">http://www.cablemodem.com/specifications/specifications11.html</a><br>
</body>
</html>