Panther versendet (haltet euch fest) netbios-ns pakete

Diskutiere mit über: Panther versendet (haltet euch fest) netbios-ns pakete im Sicherheit Forum

  1. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    hallo zuammen drumm

    neulich ist mir aufgefallen, dass mein Panther (haltet euch fest) regelmäßig netbios broadcasts (192.168.100.255) übers netz sendet. :confused:

    hier ein mal ein beispielpaket:

    43:54.706523 (tos 0x0, ttl 64, length: 78) saturn.maki.dom.49580 > 192.168.100.255.netbios-ns: [udp sum ok]
    >>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    TrnID=0x383A
    OpCode=0
    NmFlags=0x11
    Rcode=0
    QueryCount=1
    AnswerCount=0
    AuthorityCount=0
    AddressRecCount=0
    QuestionRecords:
    Name=WORKGROUP NameType=0x00 (Workstation)
    QuestionType=0x20
    QuestionClass=0x1


    windows Sharing ist natürlich deaktiviert, denn sonst wäre es ja klar, dass er das machen muss.
    habe dann die ipfw (die Firewall) ganz dicht gemacht und immer noch sendet er die entsprechenden pakete.

    kann sich jemand vorstellen, woran das liegt.
    printer sharing kann ich mir nicht vorstellen, dass damit zu tun hat, zumal kein printer aktiv ist -
    printer sharin verwendet jedenfalls den standardport für ipp (internet-print-protocoll) jedenfalls nicht den port 137 (netbiso-ns -> s. oben) von daher schließe ich das aus -

    noch etwas ist mir aufgefallen,
    kurz nachdem ich meine beiden router starte, wählt sich der rechner ins internet ein, obwohl - soweit ich das sehe keine programme laufen, die eine verbindung benötigen.

    hat jemand ähnliche erfahrungen gemacht ?
     
  2. Donald Townsend

    Donald Townsend MacUser Mitglied

    Beiträge:
    296
    Zustimmungen:
    1
    Registriert seit:
    23.12.2003
    Einwahl

    Die Einwahl könnte durch die Zeitsynchronisation mit einem Apple Time Server ausgelöst werden, wenn diese unter den Zeiteinstellungen aktiviert ist.

    Weitere Dienste könnten abonierte Kalender sein, oder Mailclients, je nach Einstellung.

    Donald
     
  3. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    vielen dank für den tip,

    timeserver kann ich auschliesen, weil ich beim router eingestellt habe, das ntp packete keine einwahl triggern,
    ich verwende den anderen router als timeserver, der synchronisiert sich aber natürlich auch.
    wie gesegt, er wählt nicht ein (sonst hat man ne standleitung) sondern synchronisiert sich nur, wenn ohnehin eine verbindung besteht (establishe-bit muss gesetzt sein)
    kalender hatt ich auch befürchtet und deswegen ical erstmal ausgeschaltet -
    -> gleiches resultat

    trotzdem, danke für die hilfe -
    man muss bei sowas ja nach dem ausschlussprinzip vorgehen :D
     
  4. CharlesT

    CharlesT unregistriert

    Beiträge:
    3.955
    Zustimmungen:
    40
    Registriert seit:
    07.05.2002
    Oder die Systemaktualisierung, die ja auch auf automatisch suchen eingestellt sein kann...
     
  5. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    hallo drumm -
    nein, die ist bei mir das erste, was ich ausschalte :D
    und zwar sofort nachdem ich die automatische registrierung gelöscht habe -
    als drittes lösche ich die automatische registrierung der adobe.programm, kurz nach deren installation -
    also auch hier: fehlanzeige!

    allerdings habe ich inzwischen per tcpdump hearausgefunden, dass die root-nameserver ziemlich häufig angesprochen werden -
    aber warum ???
    hab nen eigenen BIND DNS Server, aber der fragt nur dann, wenn er selbst die namen nicht auflösen kann, und dazu müsste ertmal ne anfrage von einem rechner kommen :confused:

    eigenartig *grübel*
     
  6. Sorn

    Sorn MacUser Mitglied

    Beiträge:
    208
    Zustimmungen:
    0
    Registriert seit:
    16.02.2003
    Was ist mit dem Browser? Versucht der vielleicht seinen Cache abzugleichen und schaut deshalb immer nach ob sich die entsprechende Seite geändert hat.

    Lars
     
  7. G5Punkt

    G5Punkt MacUser Mitglied

    Beiträge:
    693
    Zustimmungen:
    0
    Registriert seit:
    21.08.2003
    IP Adressen beginnend mit 192.xxx.xxx.xxx und 10.xxx.xxx.xxx sind interne LAN IPs und werden im Web nicht weitertransportiert. Panther funkt häufig mit verschiedenen Diensten ins interne und externe Netz. Kannst dir mal Little Snitch installieren und du wirst erschrecken was da so alles rumfunkt.

    Apple scheint die IPs 17.xxx.xxx.xxx zu benutzen um die Uhr, .mac und SW-update zu hosten....
     
  8. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    hallo zusammen drumm

    vielen dank für eure hilfe -
    leider ist es nicht der webbrowser, denn der ist aus -
    außerdem leere ich regelmäßig den cache und ein abgleich gechachder dateien passiert ohnehin nur, wenn du die seite erneut aufrufts (wenn überhaupt)

    @ G5
    Little Snitch kenn ich nicht, aber mit tcpdump kannst du ebenfalls alle pakete mitschneiden - wenn ich mehr komfort haben möchte verwende ich persönlich ethereal zum "sniffen" - trotzdem danke für den tip -

    was da so alles rumfleucht on ether ist mir bekannt - u. a. auch relativ viel wegen printersharing und vor allem mDNSresponder-Pakete, die von Rendevous benötigt werden.
    Letztere verwenden aber wenigstens multicast-Adressen und nicht wie netbios und ähnliches windows-gekreuche diese albernen Broadcasts.

    Broadcasts muss man sich so vorstellen, als ob Ihr von allen Briefen in euerem Postleitzahlenbereich die ersten fünf Zeilen lesen müsstet, um zu checken, ob man der Adressat ist ***ääächz***

    Deswegen regen mich ja diese unverständlichen netbios-broadcasts so auf motz
    die sollte es eigentlich nur geben, wenn man windows sharing aktiv hat, weil man sonst den mac nicht in der windows netzwerkumgebung sehen kann -
    erreichen könnte man ihn trotzdem über den sog. UNC-Pfad

    wenn ich nicht rausfinde woher die kommen kopfkratz muss ich noch die firewall so einstellen, dass netbios (u. ä.) pakete weder rein noch raus dürfen -
    also wieder mal runter auf die kommandozeile

    was soll´s -
    have fun

    ach übrigens nur die Adressen die im 192.168.xxx.xxx - Netz liegen sind private Adressen
    außerdem gibts noch einen Bereich im 172-er Netz, den man verwenden kann :D
     
  9. Magicq99

    Magicq99 MacUser Mitglied

    Beiträge:
    6.875
    Zustimmungen:
    273
    Registriert seit:
    18.05.2003
    Vielleicht gehört das ja auch zu der Rendezvous Technik. Da werden ja automatisch Dienste anderer Rechner gefunden und konfiguriert. Aber die müssen sich ja auch erst mal finden.
    Vielleicht sendet OS X da regelmässig um sich anderen Rechner im Netz "mitzuteilen"
     
  10. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    hallo zusammen drumm

    nein, ist es nicht, denn Rendevouz ist ein proprietäres Apple Protokoll (sozusagen ein Apple-spezifischer Luxus) und verwendet wie schon oben geschrieben Multicast-Adressen und keine dieser (rückständigen) Broadcasts, wie die Windows Mühlen.

    ach und noch was - Dienste werden da nicht konfiguriert, sondern im netzt bekanntgegeben - wäre ja schlimm, wenn da was automatisc so konfiguriert würde, wie ich das vielleicht gar nicht will (ist doch kein winzig-weiches Fenster-Produkt :D)

    have fun
     
Die Seite wird geladen...
Ähnliche Themen - Panther versendet (haltet Forum Datum
Was haltet ihr von Crash Plan? Sicherheit 08.03.2011
Virenscanner für Panther? Sicherheit 16.08.2010
Alternative zu IAlertU (Panther) Sicherheit 02.07.2008
VPN Server für MacOS Panther Sicherheit 13.02.2005
VPN 4 unter MacOS Panther funktioniert nicht? Sicherheit 14.05.2004

Diese Seite empfehlen

Benutzerdefinierte Suche