linux-l: Warum bekomme ich folgenden Traffic mit...

Do Sep 28 23:06:57 CEST 2000

* Guido Seifert wrote on Thu, Sep 28, 2000 at 20:57 +0200:
> > > Thu Sep 28 15:38:10 2000; UDP; eth0; 78 bytes; from \
> > > 194.126.131.18:137 to 194.126.131.255:137
> > 
> > liegt das überhaupt in Deinem Netzwerk? Ist doch maximal ein C,
> > vermutlich kleiner, oder?
> 
> Also es liegt zumindest nicht in meinem Subnetz und Teile des Traffics,
> den ich da sehe, sollte wirklich nicht in meinem Netz liegen.

Also ist das auch schon mal komisch.

> Administrieren bekommen. Aber wie falsch kann man einen Rechner
> konfigurieren, dass er mit nachweislich _nicht_ im promiscuous
> mode laufenden Interface solche "Geisterpackete" bekommt?

Ohh! Das ist sicher?! Kann es nicht sein, daß die Packet MAC
broadcast gesetzt hatten, und jemand ein UDP socket geholt hat,
der auf INADDR_ANY lauscht?

> > Wenn Du ein C Netz hast, dann wäre das eben ganz normaler UDP
> > Verkehr (also kein Broadcast).
> 
> Hmm, ich gebe zu, ich bin mit diesen Dingen noch nicht so vertraut,
> wie es fuer meine Arbeit gut waere *huestel*. Es ist also normal, 
> dass ich fremden UDP Verkehr einfach so "mithoeren" kann?

Mithören sowieso, nur macht der Kernel normalerweise nix damit
(die rauschen dann eben am Kabel vorbei). IIRC gab es
Netzwerkkarten, die immer im promiscious mode laufen, oder wo man
den nicht mehr ausschalten kann oder so, weiß nicht mehr.
Vielleicht sowas...

> > Schon wieder ein neues Netz! Woher bekommst Du eigentlich diese
> > Packete?! Normalerweise sollte sowas ja nicht in Dein
> > 194.126.132.0/24 gerouted werden. Woher kommt das? Provider?!
> 
> Gute Frage, wenn ich das wuesste, dann wuerde ich hier nicht fragen :-)
> Der Provider ist ADTECH. Ich glaube ich werde ihn morgen mal ein Loch
> in den Bauch fragen ;-)

Na, da fällt mir der Spruch ein:

Um es mit meinem Mentor Kai zu sagen: Heute wird von einem ISP
weniger Wissen um das Netz erwartet als noch vor zwei Jahren von
einem User, wird Zeit, daß ich wieder Bergsteigen gehe.
        --Jonas Luster in de.org.ccc

:) Fragen? :)

> Das ich die Packete aus 194.126.131.0 empfange finde ich ja seltsam,
> aber wenigstens liegt dieses Subnetz noch bei meinem Provider.
> 193.194.142.150 ist mir aber voellig fremd.

Ach, in der Praxis hat da dann oft jemand zwei Netzwerkkarten
vertauscht, oder sich beim Einrichten einer Alias-IP vertippt
oder so, da darf man nix drauf geben. Gibt ja Firewalls. Dahinter
ist dann Ruhe.

> Koennen Packete von einem Subnetz in ein benachbartes bluten?

Klar, nennt man routing :) Normalerweise werden Broadcast's aber
eben nicht gerouted, außer man macht proxyarp oder sowas, da
gibt's ein paar solcher Sachen möchte ich sagen, sowas kann auch
in größere geswitchten Netzen passieren. Bleibt aber mindestens
häßlich. Aber ich würde mir die Zeit sparen, mit dem Provider zu
reden ;) Hatte da schon ganz andere Phänomene ;)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.