host empfängt Pakete, die nicht an ihn adressiert sind
Hallo ML, lt. Virenscanner soll ein Windows-Host hier angeblich "ping of death"-Pakete verschicken. Deswegen habe ich mit wireshark mal den gesamten ICMP-Verkehr mitgesnifft. Es kommen haufenweise Pakete an diesem host an, bei denen weder Quell- oder Ziel-MAC noch Quell- oder Ziel-IP dem host entsprechen. Wie kann das sein ? Dies sind aber *keine* Multi- oder Broadcastpakete (bis auf wenige Ausnahmen). Es handelt sich dabei meist um Echo-Request oder Port Unreachable Pakete, manchmal auch um Echo-reply. Wir haben natürlich ein geswitchtes Netz. Vielen Dank für alle Antworten. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Der Kopf ist rund, damit die Gedanken die Richtung ändern können Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Tue, 01 Mar 2011, Lentes, Bernd schrieb:
lt. Virenscanner soll ein Windows-Host hier angeblich "ping of death"-Pakete verschicken. Deswegen habe ich mit wireshark mal den gesamten ICMP-Verkehr mitgesnifft. Es kommen haufenweise Pakete an diesem host an, bei denen weder Quell- oder Ziel-MAC noch Quell- oder Ziel-IP dem host entsprechen. Wie kann das sein ?
Netzwerkkarte im "promiscous mode" (den Wireshark anstellen kann). Schau mal die 'Capture Options' an, da findest du das passende Hakerl. -dnh --
Genauso könntest Du einen Grafiker in den Farbraum schicken. Was mich daran erinnert, dass Maler zwar von Farb_tönen_, Musiker aber von Klang_farben_ reden. [Michael Fesser, Markus Kottenhahn in <darw/>] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller schrieb:
Netzwerkkarte im "promiscous mode" (den Wireshark anstellen kann). Schau mal die 'Capture Options' an, da findest du das passende Hakerl.
Ok. "Promiscuous mode" erklärt, wieso Wireshark die Pakete fängt. Die eigentliche Frage ist aber, wieso in einem geswitchten Netz Unicastpakete, in denen weder Quell- noch Ziel-MAC-Adresse dem sniffenden host entsprechen, überhaupt auf dessen Port auftauchen. Any idea ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 3. März 2011 schrieb Lentes, Bernd:
(...). Die eigentliche Frage ist aber, wieso in einem geswitchten Netz Unicastpakete, in denen weder Quell- noch Ziel-MAC-Adresse dem sniffenden host entsprechen, überhaupt auf dessen Port auftauchen.
Any idea ?
ARP-Spoofing? MAC-Flooding? Gruß Jan -- Where all think alike, no one thinks very much. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Ritzerfeld schrieb:
(...). Die eigentliche Frage ist aber, wieso in einem geswitchten Netz Unicastpakete, in denen weder Quell- noch Ziel-MAC-Adresse dem sniffenden host entsprechen, überhaupt auf dessen Port auftauchen.
Any idea ?
ARP-Spoofing? MAC-Flooding?
Das wäre weniger schön. Gibt es auch eeine "natürliche" Erklärung ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 3. März 2011 schrieb Lentes, Bernd:
Jan Ritzerfeld schrieb:
(...). Die eigentliche Frage ist aber, wieso in einem geswitchten Netz Unicastpakete, in denen weder Quell- noch Ziel-MAC-Adresse dem sniffenden host entsprechen, überhaupt auf dessen Port auftauchen.
Any idea ?
ARP-Spoofing? MAC-Flooding?
Das wäre weniger schön.
Wenn dieser Windows-Rechner schon durch "komische" Pakete aufgefallen ist, liegt ein Angriff leider nicht so fern.
Gibt es auch eeine "natürliche" Erklärung ?
Ein Switch arbeitet ja anfänglich als Hub, wenn er noch gar nicht wissen kann, welche MAC-Adresse an einem Port hängt. Oder die interne Zuordnungstabelle ist halt defekt. Oder an dem Switch hängen einige Hubs oder so viele Switches, dass die Tabelle auch ohne Angriff überläuft. Gruß Jan -- Interchangeable parts won't. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Ritzerfeld schrieb:
Wenn dieser Windows-Rechner schon durch "komische" Pakete aufgefallen ist, liegt ein Angriff leider nicht so fern.
Mittlerweile habe ich den Eindruck, daß die "ping of death"-Pakete von einem burn-in-test von Sandra kommen. Seit diese Software nicht mehr läuft, tauschen auch keine solchen Pakete mehr auf.
Gibt es auch eeine "natürliche" Erklärung ?
Ein Switch arbeitet ja anfänglich als Hub, wenn er noch gar nicht wissen kann, welche MAC-Adresse an einem Port hängt. Oder die interne Zuordnungstabelle ist halt defekt. Oder an dem Switch hängen einige Hubs oder so viele Switches, dass die Tabelle auch ohne Angriff überläuft.
Ich muss mal mit den Netzwerkleuten von unserem Zentrum sprechen. Danke. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
David Haller -
Jan Ritzerfeld -
Lentes, Bernd