8
Virtuelle Maschine müllt unser Netzwerk zu
hi@all,
Ich habe hier ein OpenSuse 11.1 auf einem VMware-Server 2.0.1, welches gerade frisch aufgesetzt wurde. Es wurden ein paar kleine Programme installiert, nichts bemerkenswertes und die Firewall ist an. Jedoch kaum eingeschaltet, so wird unser (relativ grosses) Netzwerk mit UDP-Packages überflutet sodass der Router ins Internet zu macht. An was könnte das liegen? Muss da etwas faul sein, oder gibt es bekannte BUGS/Dienste, die sowas entstehen lassen?
(Sorry, etwas knapp beschrieben, ich habe erst am Montag die Möglichkeit, mit Sniffern das ganze zu analysieren)
(Sorry, etwas knapp beschrieben, ich habe erst am Montag die Möglichkeit, mit Sniffern das ganze zu analysieren)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119636
Url: https://administrator.de/contentid/119636
Printed on: April 26, 2024 at 07:04 o'clock
8 Comments
Latest comment
Das wäre auch sinnvoller denn so ist es das gleiche als ob man HIER hereinschaut !!!
Wenn du die Art der UDP Pakete kennst und die Quell IP, dann hast du den Verursacher und die Applikation.
Da müssen wir uns dann wohl oder übel bis Montag gedulden, denn so ist ein sinnvolle Hilfe unmöglich !!
Wenn du die Art der UDP Pakete kennst und die Quell IP, dann hast du den Verursacher und die Applikation.
Da müssen wir uns dann wohl oder übel bis Montag gedulden, denn so ist ein sinnvolle Hilfe unmöglich !!
danke für den Link, bislang fühlte ich mich bei meinen eigenen Fragen immer etwas verloren, wenn auch googlen nichts mehr brachte, ich kann sonst noch die Douglas-Adams-Methode empfehlen:
--------------------------
| Drücken Sie hier |
--------------------------
dieses Rechteck ist Ihr Freund, in Zeiten großer psychischer
Anspannung, Stress oder Ungewißheit bitte drücken,
es steht Ihnen dann bei.
--------------------------
| Drücken Sie hier |
--------------------------
dieses Rechteck ist Ihr Freund, in Zeiten großer psychischer
Anspannung, Stress oder Ungewißheit bitte drücken,
es steht Ihnen dann bei.
Hi, und noch einmal für nicht-Hobby-Psychologen :::
Was ist bitte die Douglas-Adams-Methode (außer dass der "Knopf" nicht klickbar ist)?
Ach ja - hat der Poster schon was "ersnifft"?
Bräucht auch ein paar mehr details:
Hostsystem Windows? Sicherheitspatches / Service Packs? Virenscanner? Welche UDP-Pakete? ...
LG Florian
Was ist bitte die Douglas-Adams-Methode (außer dass der "Knopf" nicht klickbar ist)?
Ach ja - hat der Poster schon was "ersnifft"?
Bräucht auch ein paar mehr details:
Hostsystem Windows? Sicherheitspatches / Service Packs? Virenscanner? Welche UDP-Pakete? ...
LG Florian
...na ja 1:30 Stunden hat gijoe ja noch die Sniffer Ergebnisse hier zu posten wie er uns versprochen hat.
Vermutlich hat er aber wohl schon kapituliert wenn man nach dem fehlenden Feedback urteilt...??!!
Vermutlich hat er aber wohl schon kapituliert wenn man nach dem fehlenden Feedback urteilt...??!!
Relax! Urteilen ist einfach wenn man die Umstände nicht kennt. Wer fährt schon gerne einen Host in einem grossen Netzwerk hoch mit dem Wissen, das es dadurch kollabieren könnte?
Ich habe die Maschine umbennant und mit einer neuen IP versehen. Jetzt herrscht momentan Ruhe. Wireshark zeigt nichts auffälliges.
Hier ein Auszug der UDP-Überschwemmung:
2009-07-01 20:26:46.740 304.640 UDP <IP-Host>:50524 -> 202.105.49.17:53 ...... 0 765895 33.6 M 1
Beim Googeln bin ich noch auf ein Java-Problem gestossen (zuviele DNS anfragen o.ä.) Der Server 202.105.49.17:53 steht irgendwo in Rumänien und hat sicher nichts mit unserem System zu tun...
Any idea?
@laggflor: habe ich doch eingangs schon erwähnt: Host-System (Host: Vmware-Server, Guest: openSuse 11.1, Firewall ist an, das ganze steht zus. hinter einer Access-List, UDP s. oben)
@aqui: Quell-IP ist die der Maschine, das wurde uns auch von der nächstgelegenen Internet-Anbindung bestätigt.
Ich habe die Maschine umbennant und mit einer neuen IP versehen. Jetzt herrscht momentan Ruhe. Wireshark zeigt nichts auffälliges.
Hier ein Auszug der UDP-Überschwemmung:
2009-07-01 20:26:46.740 304.640 UDP <IP-Host>:50524 -> 202.105.49.17:53 ...... 0 765895 33.6 M 1
Beim Googeln bin ich noch auf ein Java-Problem gestossen (zuviele DNS anfragen o.ä.) Der Server 202.105.49.17:53 steht irgendwo in Rumänien und hat sicher nichts mit unserem System zu tun...
Any idea?
@laggflor: habe ich doch eingangs schon erwähnt: Host-System (Host: Vmware-Server, Guest: openSuse 11.1, Firewall ist an, das ganze steht zus. hinter einer Access-List, UDP s. oben)
@aqui: Quell-IP ist die der Maschine, das wurde uns auch von der nächstgelegenen Internet-Anbindung bestätigt.
Hi,
nochmal lästig:
Bei jeder Virtualisierungslösung gibts immer zwei Systeme:
1. der Host: das ist das Betriebssystem das auf dem Rechner direkt installiert ist, und in dem selbst dann der VMWare Server läuft.
2. eines oder mehrere Gastsysteme (in deinem Fall die SuSE so wie ich das rausgelesen hab).
Soweit ich weiß hat VMWare kein eigenes Betriebssystem - lass mich aber gerne eines besseren belehren.
Wurscht. die o.g. Anfrage geht auf den Port 53 - was ja Prinzipiell auf eine DNS-Anfrage hindeutet.
Isser aber offensichtlich nicht weil er auf DNS-Anfragen nicht antwortet:
dig @202.105.49.17 www.google.at
; <<>> DiG 9.5.1-P2 <<>> @202.105.49.17 www.google.at
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
Es müßte zumindes ein "nicht zuständig für diese Domain" zurückkommen.
Auch
netcat -u 202.105.49.17 53
liefert nichts was sinnvoll wäre.
Dass eine reine IP-Änderung das Problem löst wundert mich auch noch...
Gibts auch Verkehr von diesem Host zu dir?
LG
Florian
nochmal lästig:
Bei jeder Virtualisierungslösung gibts immer zwei Systeme:
1. der Host: das ist das Betriebssystem das auf dem Rechner direkt installiert ist, und in dem selbst dann der VMWare Server läuft.
2. eines oder mehrere Gastsysteme (in deinem Fall die SuSE so wie ich das rausgelesen hab).
Soweit ich weiß hat VMWare kein eigenes Betriebssystem - lass mich aber gerne eines besseren belehren.
Wurscht. die o.g. Anfrage geht auf den Port 53 - was ja Prinzipiell auf eine DNS-Anfrage hindeutet.
Isser aber offensichtlich nicht weil er auf DNS-Anfragen nicht antwortet:
dig @202.105.49.17 www.google.at
; <<>> DiG 9.5.1-P2 <<>> @202.105.49.17 www.google.at
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
Es müßte zumindes ein "nicht zuständig für diese Domain" zurückkommen.
Auch
netcat -u 202.105.49.17 53
liefert nichts was sinnvoll wäre.
Dass eine reine IP-Änderung das Problem löst wundert mich auch noch...
Gibts auch Verkehr von diesem Host zu dir?
LG
Florian
Zu VM-Ware, genau genommen läuft die Maschine (wieder) auf einem Vmware-ESX-Server, und ist somit theoretisch "ohne Host-OS" (praktisch läuft ein Linux darunter).
Also Verkehr vom Host zu mir wurde nirgends registriert, dürfte ja auch nicht durchkommen. Es kann schon sein das die Namens/IP-Änderung was bringt, denn vorher war die Maschine von einem remote-Tool erreichbar (Sun Secure Global Desktop), damit konnten User von Zuhause aus auf dieser Maschien arbeiten.
Ich melde mich, sobald ich die Maschine geklont und unter dem "alten" Namen wieder in Betrieb genommen habe, irgendwie schon ein wenig beunruhigend die ganze Sache (vorallem diese Anfragen an den komischen Server, wieso sollte ein frisch installiertes Suse so etwas machen???)
Danke mal soweit, für weitere Ideen bin ich dankbar...
Also Verkehr vom Host zu mir wurde nirgends registriert, dürfte ja auch nicht durchkommen. Es kann schon sein das die Namens/IP-Änderung was bringt, denn vorher war die Maschine von einem remote-Tool erreichbar (Sun Secure Global Desktop), damit konnten User von Zuhause aus auf dieser Maschien arbeiten.
Ich melde mich, sobald ich die Maschine geklont und unter dem "alten" Namen wieder in Betrieb genommen habe, irgendwie schon ein wenig beunruhigend die ganze Sache (vorallem diese Anfragen an den komischen Server, wieso sollte ein frisch installiertes Suse so etwas machen???)
Danke mal soweit, für weitere Ideen bin ich dankbar...
Zu VM-Ware, genau genommen läuft die Maschine (wieder) auf einem
Vmware-ESX-Server, und ist somit theoretisch "ohne Host-OS"
(praktisch läuft ein Linux darunter).
Vmware-ESX-Server, und ist somit theoretisch "ohne Host-OS"
(praktisch läuft ein Linux darunter).
Jupp, das hab ich gemeint. Wusste gar nit dass VMware den ESX-Server mit OS ausliefert - aber eigentlich logisch. Ich hab noch ein paar alte VMware-Server die ich alle liebend gerne per vmware-cmd steuere, alles neue bei mir wird XEN.
Es kann schon sein das die
Namens/IP-Änderung was bringt, denn vorher war die Maschine von
einem remote-Tool erreichbar (Sun Secure Global Desktop), damit
konnten User von Zuhause aus auf dieser Maschien arbeiten.
Namens/IP-Änderung was bringt, denn vorher war die Maschine von
einem remote-Tool erreichbar (Sun Secure Global Desktop), damit
konnten User von Zuhause aus auf dieser Maschien arbeiten.
OK, IP geändert aber nicht die NATtings auf der Firewall, das macht selbstverständlich einen Unterschied.
Ich melde mich, sobald ich die Maschine geklont und unter dem
"alten" Namen wieder in Betrieb genommen habe, irgendwie
schon ein wenig beunruhigend die ganze Sache (vorallem diese Anfragen
an den komischen Server, wieso sollte ein frisch installiertes Suse so
etwas machen???)
"alten" Namen wieder in Betrieb genommen habe, irgendwie
schon ein wenig beunruhigend die ganze Sache (vorallem diese Anfragen
an den komischen Server, wieso sollte ein frisch installiertes Suse so
etwas machen???)
Keine Ahnung
Danke mal soweit, für weitere Ideen bin ich dankbar...
Krigst du:
netstat -pn |grep 53
So findest raus welcher Prozess (bzw. welche Prozess-ID) den Port registriert...
Kuckst du
man netstat
GLG
Florian http://www.lagg.at/