Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W2k3, statische ARP-Einträge wurden von selbst erstellt

Frage Microsoft Windows Netzwerk

Mitglied: hm7user

hm7user (Level 1) - Jetzt verbinden

12.10.2011 um 06:01 Uhr, 3148 Aufrufe, 5 Kommentare

unerwartete statische ARP-Cache-Einträge

Hallo!

Auf einem W2k3-SP2-Server tauchten innerhalb von 3 Wochen mindestens bereits 2 statische ARP-Einträge im ARP-Cache auf, die 100%ig nicht manuell am Server gesetzt wurden.

Sie beziehen sich auf IP-Adressen eines DHCP-Ranges , die für Client-PCs gedacht sind.

Es waren beide male verschiedene MAC-Adressen, die Geräte sind noch nicht identifiziert.

Gibt es einen "normalen" Weg für sowas, oder muß ich mit dem Gehacktwordensein des Servers rechnen?


Danke, Harald
Mitglied: msr972
12.10.2011 um 08:41 Uhr
Guten Morgen,

wurde denn am W2k3 Server neue Hardware bzw. Hardware für das Netz installiert und am Server dafür Hardware?
Ich hatte mal RS485-Netzwerk Komponenten, die auch einen Treiber bzw. eine Softwareinstallation benötigten und die ARP Einträge wurden von der Software gesetzt. Sehr sinnvoll natürlich..

Bzw. mal Log von arp -a wäre nicht schlecht
Bitte warten ..
Mitglied: hm7user
14.10.2011 um 05:26 Uhr
Hallo msr972!

Danke für Deine Idee! Nein, keine Installationen in den letzten Wochen/Monanten, nicht mal Software (außer evtl. Updates).


Andere haben solche Effekte offenbar auch:

http://serverfault.com/questions/60033/bad-arp-cache-static-entries

http://forums.whirlpool.net.au/archive/797548


Hier läuft aber kein 3Com Boot Service (und auch kein RIS/WDS).

Allerdings lief mal testweise ein RIS mit BINL, keine Ahnung, vielleicht rennt da ja noch was versehentlich, seit Update zu WDS.

Ist ja fast wahrscheinlich, daß irgendwelche PXE-Server-Dienste sowas verursachen.

Ansonsten habe ich keine Idee, welche Server-Anwendungen noch aktiv statische ARP-Einträge erzeugen könnten. Vielleicht irgendwelche Konfigurations-Software für Netzwerkgeräte (so Drucker-Erstkonfig-Tools oder so).


Soweit erstmal, Harald
Bitte warten ..
Mitglied: msr972
14.10.2011 um 08:28 Uhr
Also wenn die Adresseinträge im Bereich 224.0.0.0 bis 239.255.255.255 geht, sind die statischen Einträge vom Prinzip her ok.
Hier ein kleiner Erläuterungslink: http://www.tcpipguide.com/free/t_IPMulticastAddressing.htm

Ansonsten vielleicht mal bei RIPE nach der IP suchen oder über die MAC den Vendor finden.
Bitte warten ..
Mitglied: hm7user
15.10.2011 um 02:33 Uhr
Hallo msr972!

Nee, nee, sind ganz "normale" IPs aus dem privaten Bereich (192.168...), welche sonst auch per DHCP an die Client-PCs verteilt werden.

So ist's überhaupt aufgefallen: Client-PCs hatten per DHCP IPs bekommen, die am Server als statische ARP-Einträge auf andere MACs zeigten.

Die Hersteller zu den MACs hatte ich natürlich gleich rausgesucht, aber es ist bisher kein Gerät gefunden. Daher vermute ich Gäste-Notebooks oder Spoofing/Fälschung.

Allerdings habe ich noch von keiner Spoofing-Methode gelesen, die statische ARP-Einträge am Server einrichten kann.


Übrigens: Am Server 2003 finden sich auch keine Default-Einträge für Multicast-Adressen. Das ist wohl erst bei 2008 zu sehen.


Harald
Bitte warten ..
Mitglied: hm7user
16.10.2011 um 14:19 Uhr
Die PCs sind inzwischen gefunden. Sind tatsächlich (neuere) Notebooks gewesen, die noch unbekannt waren.

Also ist ARP-Spoofing erstmal unwahrscheinlich, zumindest mit MAC-Fälschungen.

Momentan verursachte ihr Betrieb allerdings keine neuen statischen ARP-Einträge am Server.


Harald
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
gelöst Wie DNS Einträge löschen außer durch flushdns (16)

Frage von f.reisenhauer zum Thema Windows Netzwerk ...

Batch & Shell
gelöst Abfrage ob Daten eingegeben wurden (5)

Frage von Floki1 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Installation
Eine etwas (wirklich) speziellere Frage: Windows 10-Installation über (16)

Frage von DerFurrer zum Thema Windows Installation ...

Multimedia & Zubehör
gelöst Iphone 6 prob (12)

Frage von jensgebken zum Thema Multimedia & Zubehör ...

Verschlüsselung & Zertifikate
gelöst Festplattenverschlüsselung im Ausland (12)

Frage von Nicolaas zum Thema Verschlüsselung & Zertifikate ...

Netzwerkgrundlagen
gelöst Cisco SG500 Series LAG hat sich von selbst umgestellt (11)

Frage von Ex0r2k16 zum Thema Netzwerkgrundlagen ...