3
MAC Adress Filter und Microsoft NLB Server
Hallo zusammen,
ich habe in den letzen Tagen öfters mal den Netzwerkverkehr auf meinem LAN Interface via Wireshark überwacht. Dabei sind mir einige IPs aufgefallen, die nicht zu unserem Netzwerk gehören, aber dennoch über TCP Traffic zu meinem Interface generieren.
Habe am ersten und zweiten Tag kurzerhand die IP Adressen über die Sicherheitsrichtlinien lokal bei mir gesperrt. Am dritten Tag ist mir wieder eine seltsame IP aufgefallen. Habe mir dann mal die MAC Adresse der verschieden IP Adresse angeschaut und bin etwas stutzig geworden, da immer die selbe MAC Adresse angeben wird ( MS-NLB-PhyServer-23... ).
Habe dann geschaut was eigentlich ein NLB Server genau macht und eigt. dient dieser ja nur fürs Load Balancing innerhalb eines Netzwerkes. Dann hab ich mal alle drei IPs getraced und dabei kamen mehrere Standorte für die IPs raus (Amerika, Österreich). Fand ich schon mal recht seltsam. Jetzt bin ich mir aber nicht sicher ob ich hier ein Sicherheitsproblem habe oder aber der NLB Server generell solchen traffic generiert.
Heute hatte die gleiche MAC Adresse eine IP Adresse aus unserer DMZ, was ja eigt. Ok wäre für einen NLB Server innerhalb unserer Netzes. Bin mir da aber einfach nicht sicher und wollte mal nachfragen, ob jemand eine Idee dazu hat.
Gruß
RegNov
ich habe in den letzen Tagen öfters mal den Netzwerkverkehr auf meinem LAN Interface via Wireshark überwacht. Dabei sind mir einige IPs aufgefallen, die nicht zu unserem Netzwerk gehören, aber dennoch über TCP Traffic zu meinem Interface generieren.
Habe am ersten und zweiten Tag kurzerhand die IP Adressen über die Sicherheitsrichtlinien lokal bei mir gesperrt. Am dritten Tag ist mir wieder eine seltsame IP aufgefallen. Habe mir dann mal die MAC Adresse der verschieden IP Adresse angeschaut und bin etwas stutzig geworden, da immer die selbe MAC Adresse angeben wird ( MS-NLB-PhyServer-23... ).
Habe dann geschaut was eigentlich ein NLB Server genau macht und eigt. dient dieser ja nur fürs Load Balancing innerhalb eines Netzwerkes. Dann hab ich mal alle drei IPs getraced und dabei kamen mehrere Standorte für die IPs raus (Amerika, Österreich). Fand ich schon mal recht seltsam. Jetzt bin ich mir aber nicht sicher ob ich hier ein Sicherheitsproblem habe oder aber der NLB Server generell solchen traffic generiert.
Heute hatte die gleiche MAC Adresse eine IP Adresse aus unserer DMZ, was ja eigt. Ok wäre für einen NLB Server innerhalb unserer Netzes. Bin mir da aber einfach nicht sicher und wollte mal nachfragen, ob jemand eine Idee dazu hat.
Gruß
RegNov
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 221201
Url: https://administrator.de/contentid/221201
Printed on: April 19, 2024 at 10:04 o'clock
3 Comments
Latest comment
Hallo RegNov,
diese Pakete sind normalerweise harmlos und tauchen häufig dann auf wenn in deinem System mehr als eine Netzwerkkarte vorhanden ist.
Eine Erklärung findest du auch hier: http://ask.wireshark.org/questions/21050/mac-prefixes-for-ms-nlb-person ...
Grüße Uwe
diese Pakete sind normalerweise harmlos und tauchen häufig dann auf wenn in deinem System mehr als eine Netzwerkkarte vorhanden ist.
Eine Erklärung findest du auch hier: http://ask.wireshark.org/questions/21050/mac-prefixes-for-ms-nlb-person ...
Grüße Uwe
1
Hey Uwe,
danke für die schnelle Antwort. Das beruhig mich jetzt aber
Komischerweise hab ich den Artikel auch gefunden, dummerweise aber nicht die Anwort darunter gelesen... dachte das hat nichts mit meinen Einträgen zu tun... naja o_0
Merci
RegNov
danke für die schnelle Antwort. Das beruhig mich jetzt aber
Komischerweise hab ich den Artikel auch gefunden, dummerweise aber nicht die Anwort darunter gelesen... dachte das hat nichts mit meinen Einträgen zu tun... naja o_0
Merci
RegNov
Moin,
Problem gelöst? Beitrag bitte als gelöst markieren.
Grüße,
Dani
Problem gelöst? Beitrag bitte als gelöst markieren.
Grüße,
Dani
1
