2
netzwerk trace richtig deuten
Hallo ich habe einen Netzwerk Trace bekommen aber beim interpertieren bin ich ein wenig unschlüssig.
Ich interpretiere ihn so: Der Rechner (10.15.15.12) hat versucht sich unter einen vorhandenen NetBIOS Namen anzumelden. Der WINS Server versuch den Besitzer zu erreichen (NAME QUERY REQUEST). Hätte der Server den bisherigen Inhaber des Namens erreicht, hätte er ein (NAME QUERY RESPONSE) an 10.15.15.10 mit einer Fehlermeldung gesendet. Ich kann aber keine Fehlermeldung erkennen (NAME QUERY RESPONSE, NO ERROR). Richtig?
Source: 10.15.15.1
Destination: 10.15.15.12
Protocol: NBNS
Info: Name: Name querey responce NB 10.15.15.1
Frame 2242 (104) on wire, 104 captured)
Ethernet II
Internet Protocol, Scr Addr: 10.15.15.1 (10.15.15.1), Dst Adrr: 10.15.15.12 (10.15.15.12)
Version 4
Header length: 20 bytes
Defferentiated services field: 0x00 (DSCP) 0x00 : Default; ECN: 0x00)
Total Length 90
Identification 0x0f77
Flags 0x00
Fragment offset 0Time to live 128
Protocol UDP (0x11)
Header checksum 0xf8f1 (correct)
Source 10.15.15.1
Destination 10.15.15.12
User Datagram Protocol SRC Port 137, DST Port 137
NetBIOS Name Service
Transaction ID 0x8008
Flags 0x8580 (Name query response, no error)
Question 1
Answer RRS 1
Authority RRS 0
Additional RSS 0
Answers
SERVER-FSW<20> type NB Class inet
Name SERVER-FSW<20> (Server Service)
Type NB
Class inet
Time to live 0
Data lenght 6
Flags. 0x6000 (H-node, unique)
Addr: 10.15.15.1
mfg bolle01
Ich interpretiere ihn so: Der Rechner (10.15.15.12) hat versucht sich unter einen vorhandenen NetBIOS Namen anzumelden. Der WINS Server versuch den Besitzer zu erreichen (NAME QUERY REQUEST). Hätte der Server den bisherigen Inhaber des Namens erreicht, hätte er ein (NAME QUERY RESPONSE) an 10.15.15.10 mit einer Fehlermeldung gesendet. Ich kann aber keine Fehlermeldung erkennen (NAME QUERY RESPONSE, NO ERROR). Richtig?
Source: 10.15.15.1
Destination: 10.15.15.12
Protocol: NBNS
Info: Name: Name querey responce NB 10.15.15.1
Frame 2242 (104) on wire, 104 captured)
Ethernet II
Internet Protocol, Scr Addr: 10.15.15.1 (10.15.15.1), Dst Adrr: 10.15.15.12 (10.15.15.12)
Version 4
Header length: 20 bytes
Defferentiated services field: 0x00 (DSCP) 0x00 : Default; ECN: 0x00)
Total Length 90
Identification 0x0f77
Flags 0x00
Fragment offset 0Time to live 128
Protocol UDP (0x11)
Header checksum 0xf8f1 (correct)
Source 10.15.15.1
Destination 10.15.15.12
User Datagram Protocol SRC Port 137, DST Port 137
NetBIOS Name Service
Transaction ID 0x8008
Flags 0x8580 (Name query response, no error)
Question 1
Answer RRS 1
Authority RRS 0
Additional RSS 0
Answers
SERVER-FSW<20> type NB Class inet
Name SERVER-FSW<20> (Server Service)
Type NB
Class inet
Time to live 0
Data lenght 6
Flags. 0x6000 (H-node, unique)
Addr: 10.15.15.1
mfg bolle01
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 106138
Url: https://administrator.de/contentid/106138
Printed on: April 23, 2024 at 08:04 o'clock
2 Comments
Latest comment
Nein, falsch ! Der Rechner 10.15.15.1 (Er ist ja die Quell also Source Adresse) antwortet (Name Query Respone="Antwort") dem Rechner 10.15.15.12 mit einem Name Service Response (UDP 137).
10.15.15.1 hat ihm vermutlich einen Windows Resourcennamen mitgeteilt und .12 antwortet mit einem OK darauf das er das verstanden hat.
Man müsste mehr von der Kommunikation sehen um exakt sagen zu können was das ist.
Sieht aber nach diesem Paket zu urteilen wie eine stinknormale Winblows Name Service Konversation zwischen einem Server .1 ??? und einem Client .12 ??? aus !!
10.15.15.1 hat ihm vermutlich einen Windows Resourcennamen mitgeteilt und .12 antwortet mit einem OK darauf das er das verstanden hat.
Man müsste mehr von der Kommunikation sehen um exakt sagen zu können was das ist.
Sieht aber nach diesem Paket zu urteilen wie eine stinknormale Winblows Name Service Konversation zwischen einem Server .1 ??? und einem Client .12 ??? aus !!
oh,
vielen danke
mfg bolle01
vielen danke
mfg bolle01
