Panther versendet (haltet euch fest) netbios-ns pakete

[maceis]

hallo zuammen drumm

neulich ist mir aufgefallen, dass mein Panther (haltet euch fest) regelmäßig netbios broadcasts (192.168.100.255) übers netz sendet.

hier ein mal ein beispielpaket:

43:54.706523 (tos 0x0, ttl 64, length: 78) saturn.maki.dom.49580 > 192.168.100.255.netbios-ns: [udp sum ok]
>>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
TrnID=0x383A
OpCode=0
NmFlags=0x11
Rcode=0
QueryCount=1
AnswerCount=0
AuthorityCount=0
AddressRecCount=0
QuestionRecords:
Name=WORKGROUP NameType=0x00 (Workstation)
QuestionType=0x20
QuestionClass=0x1

windows Sharing ist natürlich deaktiviert, denn sonst wäre es ja klar, dass er das machen muss.
habe dann die ipfw (die Firewall) ganz dicht gemacht und immer noch sendet er die entsprechenden pakete.

kann sich jemand vorstellen, woran das liegt.
printer sharing kann ich mir nicht vorstellen, dass damit zu tun hat, zumal kein printer aktiv ist -
printer sharin verwendet jedenfalls den standardport für ipp (internet-print-protocoll) jedenfalls nicht den port 137 (netbiso-ns -> s. oben) von daher schließe ich das aus -

noch etwas ist mir aufgefallen,
kurz nachdem ich meine beiden router starte, wählt sich der rechner ins internet ein, obwohl - soweit ich das sehe keine programme laufen, die eine verbindung benötigen.

hat jemand ähnliche erfahrungen gemacht ?

 

[Donald Townsend]

Einwahl

Die Einwahl könnte durch die Zeitsynchronisation mit einem Apple Time Server ausgelöst werden, wenn diese unter den Zeiteinstellungen aktiviert ist.

Weitere Dienste könnten abonierte Kalender sein, oder Mailclients, je nach Einstellung.

Donald

 

[maceis]

vielen dank für den tip,

timeserver kann ich auschliesen, weil ich beim router eingestellt habe, das ntp packete keine einwahl triggern,
ich verwende den anderen router als timeserver, der synchronisiert sich aber natürlich auch.
wie gesegt, er wählt nicht ein (sonst hat man ne standleitung) sondern synchronisiert sich nur, wenn ohnehin eine verbindung besteht (establishe-bit muss gesetzt sein)
kalender hatt ich auch befürchtet und deswegen ical erstmal ausgeschaltet -
-> gleiches resultat

trotzdem, danke für die hilfe -
man muss bei sowas ja nach dem ausschlussprinzip vorgehen

 

[CharlesT]

Oder die Systemaktualisierung, die ja auch auf automatisch suchen eingestellt sein kann...

 

[maceis]

hallo drumm -
nein, die ist bei mir das erste, was ich ausschalte
und zwar sofort nachdem ich die automatische registrierung gelöscht habe -
als drittes lösche ich die automatische registrierung der adobe.programm, kurz nach deren installation -
also auch hier: fehlanzeige!

allerdings habe ich inzwischen per tcpdump hearausgefunden, dass die root-nameserver ziemlich häufig angesprochen werden -
aber warum ???
hab nen eigenen BIND DNS Server, aber der fragt nur dann, wenn er selbst die namen nicht auflösen kann, und dazu müsste ertmal ne anfrage von einem rechner kommen

eigenartig *grübel*

 

[Sorn]

Was ist mit dem Browser? Versucht der vielleicht seinen Cache abzugleichen und schaut deshalb immer nach ob sich die entsprechende Seite geändert hat.

Lars

 

[G5Punkt]

IP Adressen beginnend mit 192.xxx.xxx.xxx und 10.xxx.xxx.xxx sind interne LAN IPs und werden im Web nicht weitertransportiert. Panther funkt häufig mit verschiedenen Diensten ins interne und externe Netz. Kannst dir mal Little Snitch installieren und du wirst erschrecken was da so alles rumfunkt.

Apple scheint die IPs 17.xxx.xxx.xxx zu benutzen um die Uhr, .mac und SW-update zu hosten....

 

[maceis]

hallo zusammen drumm

vielen dank für eure hilfe -
leider ist es nicht der webbrowser, denn der ist aus -
außerdem leere ich regelmäßig den cache und ein abgleich gechachder dateien passiert ohnehin nur, wenn du die seite erneut aufrufts (wenn überhaupt)

@ G5
Little Snitch kenn ich nicht, aber mit tcpdump kannst du ebenfalls alle pakete mitschneiden - wenn ich mehr komfort haben möchte verwende ich persönlich ethereal zum "sniffen" - trotzdem danke für den tip -

was da so alles rumfleucht on ether ist mir bekannt - u. a. auch relativ viel wegen printersharing und vor allem mDNSresponder-Pakete, die von Rendevous benötigt werden.
Letztere verwenden aber wenigstens multicast-Adressen und nicht wie netbios und ähnliches windows-gekreuche diese albernen Broadcasts.

Broadcasts muss man sich so vorstellen, als ob Ihr von allen Briefen in euerem Postleitzahlenbereich die ersten fünf Zeilen lesen müsstet, um zu checken, ob man der Adressat ist ***ääächz***

Deswegen regen mich ja diese unverständlichen netbios-broadcasts so auf motz
die sollte es eigentlich nur geben, wenn man windows sharing aktiv hat, weil man sonst den mac nicht in der windows netzwerkumgebung sehen kann -
erreichen könnte man ihn trotzdem über den sog. UNC-Pfad

wenn ich nicht rausfinde woher die kommen kopfkratz muss ich noch die firewall so einstellen, dass netbios (u. ä.) pakete weder rein noch raus dürfen -
also wieder mal runter auf die kommandozeile

was soll´s -
have fun

ach übrigens nur die Adressen die im 192.168.xxx.xxx - Netz liegen sind private Adressen
außerdem gibts noch einen Bereich im 172-er Netz, den man verwenden kann

 

[Magicq99]

Vielleicht gehört das ja auch zu der Rendezvous Technik. Da werden ja automatisch Dienste anderer Rechner gefunden und konfiguriert. Aber die müssen sich ja auch erst mal finden.
Vielleicht sendet OS X da regelmässig um sich anderen Rechner im Netz "mitzuteilen"

 

[maceis]

hallo zusammen drumm

nein, ist es nicht, denn Rendevouz ist ein proprietäres Apple Protokoll (sozusagen ein Apple-spezifischer Luxus) und verwendet wie schon oben geschrieben Multicast-Adressen und keine dieser (rückständigen) Broadcasts, wie die Windows Mühlen.

ach und noch was - Dienste werden da nicht konfiguriert, sondern im netzt bekanntgegeben - wäre ja schlimm, wenn da was automatisc so konfiguriert würde, wie ich das vielleicht gar nicht will (ist doch kein winzig-weiches Fenster-Produkt )

have fun

 

[lun_IX]

vorsicht ist ja schön und gut, aber sich wegen so einem doofen Broadcast so aufzuregen?!

Wenn du nicht willst, dass etwas nach draussen geht, musst du deine verbindung trennen...

Ich finde, mit so einer Paranoia macht man sich das leben nur selbst schwieriger.... soll Panther doch senden... ist doch alles legal

Und ich bin sicher, dass das nicht erst seit Panther so ist.... kann das mal einer unter OS 9 probieren? Oder ältere Versionen von X?

 

[maceis]

hallo zusammen drumm

ich muss dir da leider widersprechen lun_IX.

mit legal hat das gar nichts zu tun - ich will nur nicht dass da netzwerkverkehr entsteht, der zum einen nicht gebraucht wird und zum anderen potentiellen angreifern u. U. die tür öffnet (siehe Theme Trojaner),

außerdem interessiert mich persönlich der technische Aspekt der Sache -
muss natürlich jeder selber wissen ob und wie stark ihn das interessiert.

ein weiterer punkt ist, dass die performance des netzwerks durch unnötigen datenverlehr belastet wird - was bei broadcasts besonders übel ist, weil alles rechner die ersten so und soviele bytes einlesen und prüfen müssen, um zu entscheiden ob das paket für sie interessant ist.
Der Grund, warum apple das Rendevouz-Protokoll entwickelt hat, ist doch der, dass broadcasts eben so ein schei... sind -
Rendevouz arbeitet mit multicasts - diese werden von enem dienst, dem sog. mDNSresponder abgehört -
mit top (im Terminal) sieht man, dass dieser dienst standardmäßig aktiv ist und beim booten relativ früh gestartet wird

wenn man wie ich viel CAD und bildbearbeitung macht versucht man halt die netzwerkperformance und die des rechners zu optimieren so weit es eben geht.
ob das bereist paranoia ist kopfkratz

um zu verhindern, dass etwas nach draußen geht, muss ich allerdings nicht gleich die verbindung trennen, sondern die firewall auf CLI-Ebene so konfigurieren, dass eben nur die pakete weitergeleitet werden, die ich weiterleiten möchte.
was du vorschlägst ist die sog. adaptive-kabel-firewall, eine insider-witz, der in etwa übersetzt die aufgesetzte-kabel-firewall heisst und eine einfache beisszange beschreibt, die nacheinander an allen kabeln angewendet wird.

außerdem ist es doch so, dass broadcasts ohnehin nicht über die router gehen und somit nur das lokale netzwerksegment belasten - also: erst recht keine gefahr durch broadcasts

nebenbei bemerkt können die bildschirminhalte von röhrenmonitoren noch aus hunderten von metern mitgeschitten werden und zwar auch von hinten -
das würde ich als paranoia empfinden, wenn man davor angst hat;
diese technologie wird aber von geheimdiensten und im bereich der wirtschaftsspionage etc. durchaus angewendet
habe mal vor jahren in einem büro für kraftwerksplanung nein, keine akw´s - sowas mach ich nicht) gearbeitet, da wurden die monitore aus diesem grund abgeschirmt
-
und noch was lun_IX:
es ist erst seit Mac os X so -
unter os 9 ist nichts gesendet worden außer afp_overtcp hellopackets, wenn filesharing eingeschaltet war-
diese waren notwendig um server in der auswahl zu erkennen

das leben mach ich mir allerdings deswegen nicht schwer

- have fun -
und fröhliches hacken -

 

[lun_IX]

na, okay, wenn du so erklaerst....

wenn es dich von der technik her interessiert, kann ich es verstehn... klang nur so, wie die ganzen Leute, die dar[ber heulen, dass Win XP "nach Hause telefoniert"....


aber du hast ja auch geschrieben, dass das Broadcast ueber eine bestimmte IP nur in deinem internen Netz versendet, wieviele Rechner hast du denn, dass dir da der Traffic solche Peformance-Einbussen bringt?

Wie oft sendet er dieses Broadcast denn?

 

[RandyHansen]

Stichwort "der gläserne User" - es interessiert mich sehr wohl, was mein Rechnerchen so alles anstellt wenn ich im Internet bin. Wen das nicht interessiert der ist schlichtweg selbst schuld, wenn er seine Daten ständig preisgibt. Ich finde es eh nicht in Ordnung, dass Mac OS X standardmäßig alles raus lässt was raus will.

Randy

 

[maceis]

hallo zusammen drumm

also erstmal @lun_IX:
schön, dass du nicht eingeschnappt bist gibt nämlich solche heiner auch

was mein netz angeht;
ich habe zu hause ein experimentiernetz mit 4 rechnern und gelegentlich mal ein bis zwei schlepptops

- zwei mal mac os x (bzw. auch mal mac OS X Server oder OS 8-9, oder System 7.1 und höher zum testen)
- einmal Linux auf nem alten 6100/60
einmal windose (meine bessere hälfte )

- hast recht; die paar broadcasts stören da keinen großen geist

in meinem büro siehts da schon anders aus:
echte produktivumgebung mit bis zu 8 usern, die fleisig (hoffentlich) CAD und Bildbearbeitung machen
und da liegen auch mehr oder minder sensible daten rum

RandyHansen hat da meine Philosophie in knappe Worte geafsst, wobei eins nicht ganz stimmt, denn OSX ist zumindest was packet-filtering angeht hoch konfigurierbar und kann absolut dicht geknebelt werden - erfordert halt etwas tiefere Fachkenntnisse als ein paar Häckchen in Bonbon-farbenen Feldern.
Mann kann zum Beispiel Datenverkehr von einzelnen IP Adressen oder bestimmten Netzwerksegmenten gezielt erlauben, verbieten und Versuche sogar mitloggen - und das obwohl die ipfw (darauf wird nämlich die Systemeinstellung Firewall angewendet) schon ein ziemlich alter Hund ist

für den einfachen User ist das was Panther in der Systemeinstellung Firewall bringt auch schon ganz brauchbar, da grundsätzlich nur Dienste erreichbar sind, die der Benutzer freigibt (Sharing) - andere Ports werden nur aufgemacht, wenn das sog. established-Bit gesetzt ist, das heisst die Datenkommunikation vom Rechern initiiert wurde.
Ein Beispiel:
Der Port 80 (http) ist standardmäßig zu von außen, aber offen von innen.
Wenn Ihr eine Webseite im Browser aufruft, kommt ihr also raus, aber herein kann trotzdem nur ein Paket, das eine Antwort auf die von euch initiierte Anfrage ist -
alles klar ?
ist doch schon was oder.

wer mehr sicherheit braucht / möchte kommt ume eine hardware-firewall (1800 Euro aufwärts) ohnehin nicht herum.


noch ein wort zu dem satz mit xp und nac hause telefonieren.

wer microschrott betriebssysteme verwendet der sollte erst dann das maul (entschuldigung) zum schimpfen aufmachen, wenn er sich soviel fachwissen (ist ja frei verfügbar) angeeignet hat, dass er weiss wovon er spricht.

win2000 zum Beispiel ist wenn man ehrlich ist (und das bin ich, obwohl ich kein freund von billy-boys produkten bin) ein sehr leistungsfähiges und stabiles Betriebssystem und noch dazu hoch kofigurierbar.

Ich seh da nur zwei probleme:
1. die meisten windows benutzer wissen gar nicht, was sie da unter der haube haben, glauben aber sie kennen sich aus, weil sie eine paar häckchen setzen können und im word einen schönen brief ausdrucken können mit Adresse an der richtigen Stelle für das Fensterchen im Umschlag
2. - und (das ist das noch größere Übel)
viele Dienste sind standarmäßig aktiv, obwohl nur für wenige benutzer wirklich nützlich

ein beispiel ist der netzwerk-nachrichtendienst
sinnvoll in sehr großen netzwerken, damit administratoren nachrichten an benutzer senden können; etwa "Achtung, wegen Wartungsarbeiten muss der Server xyz in 30 Minuten (in 5 Minuten) heruntergefahren werden; bitte sichern sie ggf. Ihre Daten vorübergehend lokal"
aktiv ist der dienst aber auf jedem homerechner -
folge:
bei vielen usern (zB auch bei meiner 60-jährigen Mutter) gehen wenn sie im Internet sind Fensterchen auf: "Halo ich bin die ge... Silke mit den br... Beinen - ruf mich an unter 0190 -.........."
murks - oder ???


Das ganze ist ungefähr so, als würden Autofahrer aufgrund der technischen Entwicklung gepanzerte Amphibienfahrzeuge mit guten Flugeigenschaften, mehreren Motoren und Radarsystem ausgeliefert bekommen, aber ohne die normale kupplungsschaltung mit 5-6 gängen und daher völlig überfordert sein, wenn sie nur mal zum bäcker fahren wollen

Der Vorteil an Mac OS X gegenüber Windows (aber auch Linux) ist der, dass es für den einfachen Briefeschreiber und Inertnetsurfer aureichend leicht zu bedienen ist, für den erfahrenen hacker aber alles dabei ist, was man sich nur wünschen kann clap

 

[maceis]

Die Lösung

hallo zusammen drumm


die Lösung ist hier zu finden:

- have fun -

 

[CharlesT]

Im Link steht 2x "http://"

 

[maceis]

hallo thomax -
danke für den hinweis -
ich hab das korrigiert - war im stress

 

[Biberbart]

ical alarm

Hallo.
Hab Euren Dialog verfolgt und finde es spannend. Technisch hab ich leider keinen Plan wovon ihr redet. Umso interessanter zu sehen, was sich in den Hintergründen meiner Verbindung so alles abspielt.

Aber ich habe eine ganz andere Frage:
Und da Ihr ziemlich gut drauf seid, habt Ihr vielleicht eine Lösung:

1. Ich möchte meiner Panther Fax Funktion ein Modem-Script für Airport einimpfen. Wie mach ich das und wie würde das heißen...

2. Ich benutze ical. Ich finde aber die ALARM-Funktion völlig albern. Wenn ich nicht direkt am Computer sitze, bekomme ich das "Pling" oder "Surr" oder was auch immer gar nicht mit.
Kann man bei Warntönen denn nicht - wie früher mal- eigene Töne (zB iTunes Dateien) dazu konfigurieren?


Tausend Dank!

 

[maceis]

hallo

Hab Euren Dialog verfolgt und finde es spannend. Technisch hab ich leider keinen Plan wovon ihr redet. Umso interessanter zu sehen, was sich in den Hintergründen meiner Verbindung so alles abspielt.

netbios (netwotk basic input output system - oder so glaub ich) ist ein windows protokoll, dass im wesentlichen dir Ports 137-1398 benutz um im netzwerk gewisse informationen zu verbreiten-

vereinfacht gesagt sind diese netbios paktet so als würde den rechner in regelmäßigen Abständen in etwa folgendes ins Netz senden:

Achtung: alle windows rechner mal herhören - ich bin ein eine workstation, ich bin kein server meines IP Adresse ist x.y.z.a, an mir ist ein Drucker Epsp irgendwas angeschlossen ..."
usw.

mit Airport kenn ich mich nicht so aus, und meine Erinnerungen in iCal, lass ich mir immer als email schicken-
wenn du einen bestimmten ton hören willst, geht das vielleicht über den Meüpunkt Datei öffenen (zB ein mp3Song oder so) -
vielleicht brauchts auch ein kleines Apple-Skript dazu, kannst ja mal googeln und in dem entsprechenden Forum hier fragen wie sowas geht.

wenn du was rasufindest, wäre es nett die Lösung zu posten, damit andere auch was davon haben