Stephan Hakuli <stephan@hakuli.de> wrote:
Packet log: input - eth1 PROTO=1 62.180.189.245:10 224.0.0.2:0 L=28 S=0x00 I=133312 F=0x0000 T=128 (#7)
Bei der "Entschluesselung" der diversen Nummern hilft oft RFC 1700 weiter. Ergebnis: Eine ICMP-Nachricht (Protokoll 1) vom Typ "Router Selection" (Typ 10, Code 0), genaueres dazu ist in RFC 1256 ("ICMP Router Discovery Messages") zu finden. Die Adressen 224.* bis 239.* sind Multicast-Adressen, die jeweils eine Gruppe von Rechnern ansprechen. Einige davon haben feste Bedeutungen, die z.B. auch in RFC 1700 nachzulesen sind. In diesem Fall: 224.0.0.2 All Routers on this Subnet Sieht eigentlich erstmal nach ganz normalen Routing-Aktivitaeten aus. Etwas seltsam ist die fuer den Gebrauch innerhalb eines Subnetzes leicht ueberdimensionierte Time-to-Live von 128, zumal RFC 1256 sagt: Time-to-Live 1 if the Destination Address is an IP multicast address; at least 1 otherwise. Aber das mag auch einfach nur Nachlaessigkeit in der Implementierung sein.
Der Input kam von einem der Clients, aber die Absenderadresse ist merkwürdig, der Client hat 192.168.1.101 und nicht 62.180.189.245.
Eigenartig. War letzteres zu der Zeit Deine oeffentliche IP-Adresse? Kaeme mir trotzdem etwas seltsam vor, wenn einer der Clients die ploetzlich als Absender-Adresse in IP-Pakete einsetzt...
nslookup sagt, die IP des Ziels 224.0.0.2 würde zu ALL-ROUTERS.MCAST.NET gehören. Kann jemand damit was anfangen?
Ja, siehe oben.
<PARANOIA> Hat der Client ein Programm laufen, das regelmäßig ICMP's rauszuschicken versucht und so jemandem mitteilt, wann ich online bin? </PARANOIA>
Eher nicht. Schon allein die Verwendung einer (und insbesondere dieser) Multicast-Adresse waere dabei nicht so sinnvoll, da die meisten Provider fuer ihre Einwahl-Zugaenge wahrscheinlich gar kein Multicast-Routing unterstuetzen. Und selbst wenn, ein anstaendiger Router wird diese Adresse wohl nicht weiterleiten. Ich weiss zwar nicht viel ueber Windows, vermute aber mal, dass Dirk Recht hat und es sich hier um normale (Routing-)Aktivitaeten handelt. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com