linux-l: Warum bekomme ich folgenden Traffic mit...

Guido Seifert wargand at cs.tu-berlin.de
Do Sep 28 20:57:09 CEST 2000


> > Thu Sep 28 15:38:10 2000; UDP; eth0; 78 bytes; from \
> > 194.126.131.18:137 to 194.126.131.255:137
> 
> liegt das überhaupt in Deinem Netzwerk? Ist doch maximal ein C,
> vermutlich kleiner, oder?

Also es liegt zumindest nicht in meinem Subnetz und Teile des Traffics,
den ich da sehe, sollte wirklich nicht in meinem Netz liegen.

> Vermutlich ne falsch konfigurierte NT Büchse?

Das ganze Geraffel an Port 137 und 138 kommt vermutlich von einer
NT Buechse. Aber mein Rechner ist ein RedHat. Ich selber habe ihn
nicht eingerichtet, sondern vor kurzem ohne Kommentar zum
Administrieren bekommen. Aber wie falsch kann man einen Rechner
konfigurieren, dass er mit nachweislich _nicht_ im promiscuous
mode laufenden Interface solche "Geisterpackete" bekommt?
> 
> > Thu Sep 28 15:39:31 2000; UDP; eth0; 78 bytes; from \
> > 194.126.132.180:137 to 194.126.132.191:137
> 
> Wenn Du ein C Netz hast, dann wäre das eben ganz normaler UDP
> Verkehr (also kein Broadcast).

Hmm, ich gebe zu, ich bin mit diesen Dingen noch nicht so vertraut,
wie es fuer meine Arbeit gut waere *huestel*. Es ist also normal, 
dass ich fremden UDP Verkehr einfach so "mithoeren" kann?
 
> > Thu Sep 28 15:42:46 2000; UDP; eth0; 256 bytes; from \
> > 193.194.142.150:138 to 193.194.142.255:138
> 
> Schon wieder ein neues Netz! Woher bekommst Du eigentlich diese
> Packete?! Normalerweise sollte sowas ja nicht in Dein
> 194.126.132.0/24 gerouted werden. Woher kommt das? Provider?!

Gute Frage, wenn ich das wuesste, dann wuerde ich hier nicht fragen :-)
Der Provider ist ADTECH. Ich glaube ich werde ihn morgen mal ein Loch
in den Bauch fragen ;-)

Das ich die Packete aus 194.126.131.0 empfange finde ich ja seltsam,
aber wenigstens liegt dieses Subnetz noch bei meinem Provider.
193.194.142.150 ist mir aber voellig fremd.

> > Ein Interface kann doch nicht mehr als eine Broadcast Adresse haben,
> > oder?
> 
> Ja, nur eine. Eigentlich gehört die Broadcastaddresse zu einem
> Netzwerk. Eine Addresse (also Interface) gehört zu einem Netz,
> und hat damit
> eben ein.

Koennen Packete von einem Subnetz in ein benachbartes bluten?


Gruss
Guido




Mehr Informationen über die Mailingliste linux-l