12
Netzwerkverkehr eines Hosts über Switch kann auf anderen Port mitgehört werden
Merkwürdiges Verhalten eines Switches!
Hallo,
ich habe eine Frage bezüglich eines Switches. Mit Wireshark bekomme ich permanent Traffic eines Hosts mit, obwohl dieser keine direkte Verbindung zu meiner Workstation aufbaut. Source und Destination sind also von der Adresse meines Hosts verschieden.
Mein Host besitzt beispielsweise Adresse 192.168.4.83, der Traffic des Host mit der Adresse 192.168.4.90 geht zum Host 192.168.2.10 und wird dennoch bei mir in Wireshark angezeigt.
Auf dem Switch ist kein Port-Mirroring aktiviert und die Zieladresse ist auch nicht die Broadcastadresse. Warum also kann ich Traffic dieses Hosts mithören?
Auffällig ist, dass anscheinend immer der selbe Inhalt verschickt wird, wie mir die Follow-Tcp-Stream Funktion in Wireshark anzeigt. Habe ich es mit einem Loop zu tun? Dann würde aber doch garnichts mehr gehen!?!?
Über eine Antwort würde ich mich sehr freuen!
MFG
Thorsten Sult
ich habe eine Frage bezüglich eines Switches. Mit Wireshark bekomme ich permanent Traffic eines Hosts mit, obwohl dieser keine direkte Verbindung zu meiner Workstation aufbaut. Source und Destination sind also von der Adresse meines Hosts verschieden.
Mein Host besitzt beispielsweise Adresse 192.168.4.83, der Traffic des Host mit der Adresse 192.168.4.90 geht zum Host 192.168.2.10 und wird dennoch bei mir in Wireshark angezeigt.
Auf dem Switch ist kein Port-Mirroring aktiviert und die Zieladresse ist auch nicht die Broadcastadresse. Warum also kann ich Traffic dieses Hosts mithören?
Auffällig ist, dass anscheinend immer der selbe Inhalt verschickt wird, wie mir die Follow-Tcp-Stream Funktion in Wireshark anzeigt. Habe ich es mit einem Loop zu tun? Dann würde aber doch garnichts mehr gehen!?!?
Über eine Antwort würde ich mich sehr freuen!
MFG
Thorsten Sult
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101075
Url: https://administrator.de/contentid/101075
Printed on: April 25, 2024 at 09:04 o'clock
12 Comments
Latest comment
Yo normal ist das nicht.
Hast du mal die mac-address-table auf dem switch angeschaut? sh mac-address-table bei cisco switches.
Daran orientiert sich der Switch wenn er frames addressiert.
"Normalerweise" gehen nur Broadcasts an ALLE Clients im Subnetz, nicht aber Unicasts. Eventuell ist der Switch defekt und fungiert nur noch als Hub?
Dann würdest aber alle Frames von allen Clients in dem Subnetz sehen und nicht nur diese eine benannte verbindung.
Hast du mal die mac-address-table auf dem switch angeschaut? sh mac-address-table bei cisco switches.
Daran orientiert sich der Switch wenn er frames addressiert.
"Normalerweise" gehen nur Broadcasts an ALLE Clients im Subnetz, nicht aber Unicasts. Eventuell ist der Switch defekt und fungiert nur noch als Hub?
Dann würdest aber alle Frames von allen Clients in dem Subnetz sehen und nicht nur diese eine benannte verbindung.
Hallo,
in der MAT ist die Mac des Hosts, den ich mithören kann, nicht hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir 0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls show mac-address-table vid ID auf.
in der MAT ist die Mac des Hosts, den ich mithören kann, nicht hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir 0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls show mac-address-table vid ID auf.
Zitat von @thorstensult:
Hallo,
in der MAT ist die Mac des Hosts, den ich mithören kann, nicht
hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir
0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls
show mac-address-table vid ID auf.
Hallo,
in der MAT ist die Mac des Hosts, den ich mithören kann, nicht
hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir
0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls
show mac-address-table vid ID auf.
Der Switch vergisst MACs nach einer Weile. Ping den Client mal an dann erscheint auch wieder die MAC auf dem Switch, wenn der Client online ist.
Bei Cisco Switches musst du ausserdem eine andere Schreibweise für MAC-Adressen nehmen, nämlich xxxx.xxxx.xxxx und alle Buchstaben klein schreiben.
Z. B.
switch#show mac-address-table | inc 003c.de43.dc23
Doch, das kann normal sein !
Ein Switch muss allen Broadcast, und Multicast Traffic fluten auf alle Ports.
Da du ja nicht genau qualifizierst WAS du da mit dem Wireshark gemessen hast kann es eben dieser Traffic sein.
Unnatürlich ist nur das das nicht wirklich Multicast oder Broadcast Adressen sind. Relevant dafür sind aber die MAC Adressen nicht die IPs sofern du nur einen Layer 2 Switch hast, was du uns ja leider auch nicht mitteilst
Andere Möglichkeit: Dein Switch ist mit der Anzahl der MAC Adressen die er speichern kann in der Forwarding Tabelle am Ende. Oder hat ein Problem mit der Firmmware. Ist das der Fall funktionieren Switches nur noch wie dumme Hubs und fluten alles an alle Ports.
Kannst du alle diese Möglichkeiten SICHER ausschliessen, dann erst solltest du einen Defekt des Switches annehmen, denn das darf niemals sein an einem Switch das du diesen portfremden Traffic ohne Port Mirroring sehen kannst.
De facto wäre das ein eklatante Fehlfunktion der Switch Hardware !!
Ggf. hilft ein Firmwareupdate auf ein aktuelles Image sofern der Switch managebar ist ??!!
Ein Switch muss allen Broadcast, und Multicast Traffic fluten auf alle Ports.
Da du ja nicht genau qualifizierst WAS du da mit dem Wireshark gemessen hast kann es eben dieser Traffic sein.
Unnatürlich ist nur das das nicht wirklich Multicast oder Broadcast Adressen sind. Relevant dafür sind aber die MAC Adressen nicht die IPs sofern du nur einen Layer 2 Switch hast, was du uns ja leider auch nicht mitteilst
Andere Möglichkeit: Dein Switch ist mit der Anzahl der MAC Adressen die er speichern kann in der Forwarding Tabelle am Ende. Oder hat ein Problem mit der Firmmware. Ist das der Fall funktionieren Switches nur noch wie dumme Hubs und fluten alles an alle Ports.
Kannst du alle diese Möglichkeiten SICHER ausschliessen, dann erst solltest du einen Defekt des Switches annehmen, denn das darf niemals sein an einem Switch das du diesen portfremden Traffic ohne Port Mirroring sehen kannst.
De facto wäre das ein eklatante Fehlfunktion der Switch Hardware !!
Ggf. hilft ein Firmwareupdate auf ein aktuelles Image sofern der Switch managebar ist ??!!
Hallo,
ich habe mit Wireshark folgenden Capture Filter verwendet: "not broadcast and not multicast and host not 192.168.4.83". Somit kann ich meinen Traffic meines Hosts ausschließen. Den Netzwerkverkehr, den ich messen kann, sind hauptsächlich Protokoll SMB mit Info "NT Trans Response, <unknown>" und Protokoll TCP mit Info "TCP segment of a reassembled PDU". Ab und zu findet man Pakete vom Typ NBNS mit Info "Name query NBSTAT *<00><00><00><00><00><00><00>*" Es tauchen keine Zieladdressen an ff.ff.ff.ff.ff.ff auf. Ab heute bekomme ich zusätzlich noch anderen Traffic, von anderen Hosts mit.
Um zu testen, ob der Switch die MAC des Hosts verworfen hat, habe ich den Host bereits angepingt. Trotzdem taucht er nicht in der MAT auf. Die Schreibweise h.h.h, also klein geschrieben, kann ich ausschließen, da andere MAC-Addressen, die in der MAT vorhanden sind, gefunden werden. Aging-Time steht auf default 300 sekunden.
Der Switch ist vom Typ: Ethernet Routing Switch 4550T-PWR HW:01 FW:5.0.1.0 SW:v5.0.1.000 BN:00 (c) Nortel Networks. Sorry, dass ich das nicht erwähnt habe.
Möglicherweise ist der Switch tatsächlich mit der MAT am Ende. Auf dem Switch sind zwei VLANs eingerichtet. Der Switch ist über zwei Links (MLT) an einen Coreswitch verbunden. Am Coreswitch sind sämtliche andere Switche angeschlossen. Spanning-tree ist STP, liegt hier der Hund begraben? Möglicherweise ist die Umstellung auf MSTP die Lösung? In der MAT des Managed Vlans, in denen sich die MLTs befinden, sind über 80 Einträge.
Bis auf die MLTs sind die Switche untereinander nicht redundant verbunden.
MFG
ich habe mit Wireshark folgenden Capture Filter verwendet: "not broadcast and not multicast and host not 192.168.4.83". Somit kann ich meinen Traffic meines Hosts ausschließen. Den Netzwerkverkehr, den ich messen kann, sind hauptsächlich Protokoll SMB mit Info "NT Trans Response, <unknown>" und Protokoll TCP mit Info "TCP segment of a reassembled PDU". Ab und zu findet man Pakete vom Typ NBNS mit Info "Name query NBSTAT *<00><00><00><00><00><00><00>*" Es tauchen keine Zieladdressen an ff.ff.ff.ff.ff.ff auf. Ab heute bekomme ich zusätzlich noch anderen Traffic, von anderen Hosts mit.
Um zu testen, ob der Switch die MAC des Hosts verworfen hat, habe ich den Host bereits angepingt. Trotzdem taucht er nicht in der MAT auf. Die Schreibweise h.h.h, also klein geschrieben, kann ich ausschließen, da andere MAC-Addressen, die in der MAT vorhanden sind, gefunden werden. Aging-Time steht auf default 300 sekunden.
Der Switch ist vom Typ: Ethernet Routing Switch 4550T-PWR HW:01 FW:5.0.1.0 SW:v5.0.1.000 BN:00 (c) Nortel Networks. Sorry, dass ich das nicht erwähnt habe.
Möglicherweise ist der Switch tatsächlich mit der MAT am Ende. Auf dem Switch sind zwei VLANs eingerichtet. Der Switch ist über zwei Links (MLT) an einen Coreswitch verbunden. Am Coreswitch sind sämtliche andere Switche angeschlossen. Spanning-tree ist STP, liegt hier der Hund begraben? Möglicherweise ist die Umstellung auf MSTP die Lösung? In der MAT des Managed Vlans, in denen sich die MLTs befinden, sind über 80 Einträge.
Bis auf die MLTs sind die Switche untereinander nicht redundant verbunden.
MFG
Der Switch hat in jedem Falle einen ziemlich schwerwiegenden Defekt.
Wenn das alles stimmt was du sagst flutet der Pakete an alle Schnittstellen, was nicht sein darf.
Hast du mal ein Firmware Update auf dem Switch gemacht ??
Vermutlich ist das ein Bug der Firmware bei Nortel, da solltest du schnellstens einen Case bei Nortel eröffnen, denn das darf niemals sein und hat ja schlimme Effekte in deinem Netz, denn man kann davon ausgehen das das auch bei allen anderen Switches bzw. Ports passiert !!
MSTP bringt keineswegs eine Lösung, denn das bestimmt ja nur das STP Protokoll und hat mit diesem Effekt rein gar nichts zu tun.
MSTP bietet dir nur die Gruppierung von VLANs in Profiles an was du bei normalem STP alles manuell machen musst.
Ist also eine ganz andere Baustelle und dürfte gar nichts ändern am eigentlichen Problem.
Zeigt letztlich wieder mal das Nortel im Switching Bereich nicht mehr aktiv ist. Das soll ja komplett verschwinden bei denen und die wollen nur noch Telefonie machen..Sieht man ja auch an den fehlenden Innovationen im LAN Bereich...
Wenn das alles stimmt was du sagst flutet der Pakete an alle Schnittstellen, was nicht sein darf.
Hast du mal ein Firmware Update auf dem Switch gemacht ??
Vermutlich ist das ein Bug der Firmware bei Nortel, da solltest du schnellstens einen Case bei Nortel eröffnen, denn das darf niemals sein und hat ja schlimme Effekte in deinem Netz, denn man kann davon ausgehen das das auch bei allen anderen Switches bzw. Ports passiert !!
MSTP bringt keineswegs eine Lösung, denn das bestimmt ja nur das STP Protokoll und hat mit diesem Effekt rein gar nichts zu tun.
MSTP bietet dir nur die Gruppierung von VLANs in Profiles an was du bei normalem STP alles manuell machen musst.
Ist also eine ganz andere Baustelle und dürfte gar nichts ändern am eigentlichen Problem.
Zeigt letztlich wieder mal das Nortel im Switching Bereich nicht mehr aktiv ist. Das soll ja komplett verschwinden bei denen und die wollen nur noch Telefonie machen..Sieht man ja auch an den fehlenden Innovationen im LAN Bereich...
Hallo,
der Switch ist auf der aktuellen Version 5.0.1 vom 17.12.2007. Ich werde mal die anderen Switche, die im Einsatz sind, testen, ob es dort zu ähnlichen Phänomenen kommt. Eventuell ist der Switch wirklich total defekt.
Ich kann mir leider nicht erklären, warum die MAC des Hosts, den ich mithören kann, nicht in der MAT auftaucht.
MFG
der Switch ist auf der aktuellen Version 5.0.1 vom 17.12.2007. Ich werde mal die anderen Switche, die im Einsatz sind, testen, ob es dort zu ähnlichen Phänomenen kommt. Eventuell ist der Switch wirklich total defekt.
Ich kann mir leider nicht erklären, warum die MAC des Hosts, den ich mithören kann, nicht in der MAT auftaucht.
MFG
Ist ein Indix dafür das er die Mac nicht mehr lernen kann und dann allen Traffic dafür flutet. Zeigt wirklich von einem Problem dieses Switches wenn die anderen das Verhalten nicht zeigen.
Du kannst ihn sonst nochmal booten ohne alle Kabel. Schliesst dann deinen Rechner an das er deine Mac zuerst lernt und dann den Rest...
So muss er sie dann lernen und dann dürfte der Effekt nicht mehr auftreten...was er sonst auch niemals dürfte..keine Frage !
Du kannst ihn sonst nochmal booten ohne alle Kabel. Schliesst dann deinen Rechner an das er deine Mac zuerst lernt und dann den Rest...
So muss er sie dann lernen und dann dürfte der Effekt nicht mehr auftreten...was er sonst auch niemals dürfte..keine Frage !
Kann auch am SMB Protokoll liegen, das ungefragt Clients im lokalen Netz kontaktet?
Da war doch was mit Netbios Namensauflösung usw. Geht ja heute alles via DNS und früher via WINS bei älteren Clients, aber ich denke mich zu erinnern dass es auch einen Mechanismus innerhalb SMB gibt dass Hosts direkt miteinander kommunzieren via Netbios name... Vermutung.
Wenn das der einzige Traffic ist den du sniffen kannst und sonst keinen wäre das eine Möglichkeit.
Würde der Switch als "Hub" fungieren wenn er kaputt wäre dann müsstest du ja ALLES sehen was ALLE clients die an dem switch hängen senden oder was an clients an diesem switch gesendet wird...
Da war doch was mit Netbios Namensauflösung usw. Geht ja heute alles via DNS und früher via WINS bei älteren Clients, aber ich denke mich zu erinnern dass es auch einen Mechanismus innerhalb SMB gibt dass Hosts direkt miteinander kommunzieren via Netbios name... Vermutung.
Wenn das der einzige Traffic ist den du sniffen kannst und sonst keinen wäre das eine Möglichkeit.
Würde der Switch als "Hub" fungieren wenn er kaputt wäre dann müsstest du ja ALLES sehen was ALLE clients die an dem switch hängen senden oder was an clients an diesem switch gesendet wird...
Hallo,
der Switch arbeitete aber doch auf Layer II und SMB auf einer höheren Schicht. Somit kann das doch daran nicht liegen.
Mfg
der Switch arbeitete aber doch auf Layer II und SMB auf einer höheren Schicht. Somit kann das doch daran nicht liegen.
Mfg
Richtig ! Die Ziel MAC Adressen dieser SMB Pakete wären dann auch Broad-, Multi- oder Unicast Mac Adressen. Analog die IP Adressen dazu. Das könnte man daran sofort sehen !
Es lag an falschen Einträgen im DNS. Die Hostanfrage verwies auf eine Adresse, die nicht existierte und da der Switch die entsprechende MAC nicht kannte, brüllte er auf allen Ports.
