Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerkverkehr eines Hosts über Switch kann auf anderen Port mitgehört werden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: thorstensult

thorstensult (Level 1) - Jetzt verbinden

05.11.2008, aktualisiert 07.11.2008, 6745 Aufrufe, 12 Kommentare

Merkwürdiges Verhalten eines Switches!

Hallo,

ich habe eine Frage bezüglich eines Switches. Mit Wireshark bekomme ich permanent Traffic eines Hosts mit, obwohl dieser keine direkte Verbindung zu meiner Workstation aufbaut. Source und Destination sind also von der Adresse meines Hosts verschieden.

Mein Host besitzt beispielsweise Adresse 192.168.4.83, der Traffic des Host mit der Adresse 192.168.4.90 geht zum Host 192.168.2.10 und wird dennoch bei mir in Wireshark angezeigt.

Auf dem Switch ist kein Port-Mirroring aktiviert und die Zieladresse ist auch nicht die Broadcastadresse. Warum also kann ich Traffic dieses Hosts mithören?

Auffällig ist, dass anscheinend immer der selbe Inhalt verschickt wird, wie mir die Follow-Tcp-Stream Funktion in Wireshark anzeigt. Habe ich es mit einem Loop zu tun? Dann würde aber doch garnichts mehr gehen!?!?

Über eine Antwort würde ich mich sehr freuen!

Mit freundlichen Grüßen

Thorsten Sult
Mitglied: spacyfreak
05.11.2008 um 12:24 Uhr
Yo normal ist das nicht.
Hast du mal die mac-address-table auf dem switch angeschaut? sh mac-address-table bei cisco switches.
Daran orientiert sich der Switch wenn er frames addressiert.
"Normalerweise" gehen nur Broadcasts an ALLE Clients im Subnetz, nicht aber Unicasts. Eventuell ist der Switch defekt und fungiert nur noch als Hub?
Dann würdest aber alle Frames von allen Clients in dem Subnetz sehen und nicht nur diese eine benannte verbindung.
Bitte warten ..
Mitglied: thorstensult
05.11.2008 um 13:13 Uhr
Hallo,

in der MAT ist die Mac des Hosts, den ich mithören kann, nicht hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir 0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls show mac-address-table vid ID auf.
Bitte warten ..
Mitglied: spacyfreak
05.11.2008 um 18:49 Uhr
Zitat von thorstensult:
Hallo,

in der MAT ist die Mac des Hosts, den ich mithören kann, nicht
hinterlegt. Der Befehl show mac-address-table address H.H.H zeigt mir
0 Treffer an. Auch taucht die Host-Mac nicht in der Liste des Befehls
show mac-address-table vid ID auf.

Der Switch vergisst MACs nach einer Weile. Ping den Client mal an dann erscheint auch wieder die MAC auf dem Switch, wenn der Client online ist.
Bei Cisco Switches musst du ausserdem eine andere Schreibweise für MAC-Adressen nehmen, nämlich xxxx.xxxx.xxxx und alle Buchstaben klein schreiben.

Z. B.

switch#show mac-address-table | inc 003c.de43.dc23
Bitte warten ..
Mitglied: aqui
05.11.2008 um 19:02 Uhr
Doch, das kann normal sein !

Ein Switch muss allen Broadcast, und Multicast Traffic fluten auf alle Ports.

Da du ja nicht genau qualifizierst WAS du da mit dem Wireshark gemessen hast kann es eben dieser Traffic sein.
Unnatürlich ist nur das das nicht wirklich Multicast oder Broadcast Adressen sind. Relevant dafür sind aber die MAC Adressen nicht die IPs sofern du nur einen Layer 2 Switch hast, was du uns ja leider auch nicht mitteilst

Andere Möglichkeit: Dein Switch ist mit der Anzahl der MAC Adressen die er speichern kann in der Forwarding Tabelle am Ende. Oder hat ein Problem mit der Firmmware. Ist das der Fall funktionieren Switches nur noch wie dumme Hubs und fluten alles an alle Ports.

Kannst du alle diese Möglichkeiten SICHER ausschliessen, dann erst solltest du einen Defekt des Switches annehmen, denn das darf niemals sein an einem Switch das du diesen portfremden Traffic ohne Port Mirroring sehen kannst.
De facto wäre das ein eklatante Fehlfunktion der Switch Hardware !!

Ggf. hilft ein Firmwareupdate auf ein aktuelles Image sofern der Switch managebar ist ??!!
Bitte warten ..
Mitglied: thorstensult
06.11.2008 um 08:14 Uhr
Hallo,

ich habe mit Wireshark folgenden Capture Filter verwendet: "not broadcast and not multicast and host not 192.168.4.83". Somit kann ich meinen Traffic meines Hosts ausschließen. Den Netzwerkverkehr, den ich messen kann, sind hauptsächlich Protokoll SMB mit Info "NT Trans Response, <unknown>" und Protokoll TCP mit Info "TCP segment of a reassembled PDU". Ab und zu findet man Pakete vom Typ NBNS mit Info "Name query NBSTAT *<00><00><00><00><00><00><00>*" Es tauchen keine Zieladdressen an ff.ff.ff.ff.ff.ff auf. Ab heute bekomme ich zusätzlich noch anderen Traffic, von anderen Hosts mit.

Um zu testen, ob der Switch die MAC des Hosts verworfen hat, habe ich den Host bereits angepingt. Trotzdem taucht er nicht in der MAT auf. Die Schreibweise h.h.h, also klein geschrieben, kann ich ausschließen, da andere MAC-Addressen, die in der MAT vorhanden sind, gefunden werden. Aging-Time steht auf default 300 sekunden.

Der Switch ist vom Typ: Ethernet Routing Switch 4550T-PWR HW:01 FW:5.0.1.0 SW:v5.0.1.000 BN:00 (c) Nortel Networks. Sorry, dass ich das nicht erwähnt habe.

Möglicherweise ist der Switch tatsächlich mit der MAT am Ende. Auf dem Switch sind zwei VLANs eingerichtet. Der Switch ist über zwei Links (MLT) an einen Coreswitch verbunden. Am Coreswitch sind sämtliche andere Switche angeschlossen. Spanning-tree ist STP, liegt hier der Hund begraben? Möglicherweise ist die Umstellung auf MSTP die Lösung? In der MAT des Managed Vlans, in denen sich die MLTs befinden, sind über 80 Einträge.

Bis auf die MLTs sind die Switche untereinander nicht redundant verbunden.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
06.11.2008 um 11:37 Uhr
Der Switch hat in jedem Falle einen ziemlich schwerwiegenden Defekt.
Wenn das alles stimmt was du sagst flutet der Pakete an alle Schnittstellen, was nicht sein darf.

Hast du mal ein Firmware Update auf dem Switch gemacht ??
Vermutlich ist das ein Bug der Firmware bei Nortel, da solltest du schnellstens einen Case bei Nortel eröffnen, denn das darf niemals sein und hat ja schlimme Effekte in deinem Netz, denn man kann davon ausgehen das das auch bei allen anderen Switches bzw. Ports passiert !!

MSTP bringt keineswegs eine Lösung, denn das bestimmt ja nur das STP Protokoll und hat mit diesem Effekt rein gar nichts zu tun.
MSTP bietet dir nur die Gruppierung von VLANs in Profiles an was du bei normalem STP alles manuell machen musst.
Ist also eine ganz andere Baustelle und dürfte gar nichts ändern am eigentlichen Problem.

Zeigt letztlich wieder mal das Nortel im Switching Bereich nicht mehr aktiv ist. Das soll ja komplett verschwinden bei denen und die wollen nur noch Telefonie machen..Sieht man ja auch an den fehlenden Innovationen im LAN Bereich...
Bitte warten ..
Mitglied: thorstensult
06.11.2008 um 13:45 Uhr
Hallo,

der Switch ist auf der aktuellen Version 5.0.1 vom 17.12.2007. Ich werde mal die anderen Switche, die im Einsatz sind, testen, ob es dort zu ähnlichen Phänomenen kommt. Eventuell ist der Switch wirklich total defekt.

Ich kann mir leider nicht erklären, warum die MAC des Hosts, den ich mithören kann, nicht in der MAT auftaucht.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
06.11.2008 um 16:44 Uhr
Ist ein Indix dafür das er die Mac nicht mehr lernen kann und dann allen Traffic dafür flutet. Zeigt wirklich von einem Problem dieses Switches wenn die anderen das Verhalten nicht zeigen.

Du kannst ihn sonst nochmal booten ohne alle Kabel. Schliesst dann deinen Rechner an das er deine Mac zuerst lernt und dann den Rest...
So muss er sie dann lernen und dann dürfte der Effekt nicht mehr auftreten...was er sonst auch niemals dürfte..keine Frage !
Bitte warten ..
Mitglied: spacyfreak
07.11.2008 um 07:55 Uhr
Kann auch am SMB Protokoll liegen, das ungefragt Clients im lokalen Netz kontaktet?
Da war doch was mit Netbios Namensauflösung usw. Geht ja heute alles via DNS und früher via WINS bei älteren Clients, aber ich denke mich zu erinnern dass es auch einen Mechanismus innerhalb SMB gibt dass Hosts direkt miteinander kommunzieren via Netbios name... Vermutung.
Wenn das der einzige Traffic ist den du sniffen kannst und sonst keinen wäre das eine Möglichkeit.
Würde der Switch als "Hub" fungieren wenn er kaputt wäre dann müsstest du ja ALLES sehen was ALLE clients die an dem switch hängen senden oder was an clients an diesem switch gesendet wird...
Bitte warten ..
Mitglied: thorstensult
07.11.2008 um 11:49 Uhr
Hallo,

der Switch arbeitete aber doch auf Layer II und SMB auf einer höheren Schicht. Somit kann das doch daran nicht liegen.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
07.11.2008 um 20:39 Uhr
Richtig ! Die Ziel MAC Adressen dieser SMB Pakete wären dann auch Broad-, Multi- oder Unicast Mac Adressen. Analog die IP Adressen dazu. Das könnte man daran sofort sehen !
Bitte warten ..
Mitglied: thorstensult
28.01.2009 um 10:45 Uhr
Es lag an falschen Einträgen im DNS. Die Hostanfrage verwies auf eine Adresse, die nicht existierte und da der Switch die entsprechende MAC nicht kannte, brüllte er auf allen Ports.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DSL, VDSL
gelöst Telefon Port via Switch auf VLAN weiterleiten (3)

Frage von adminst zum Thema DSL, VDSL ...

Netzwerkmanagement
gelöst Port Sicherheit verbessern Lancom Switch GS-23xx (13)

Frage von Hipstertown zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...