tcpdump

visby7

visby7

Mitglied
Thread Starter
Dabei seit
09.09.2005
Beiträge
35
Reaktionspunkte
1
Hallo Community,

gestern gab es hier einen super spannenden thread über einen merkwürdig hohen Traffic. Leider keine Auflösung! Am Ende: Vorhang zu und alle Fragen offen.

Beim Mitspielen habe ich auch ein tcpdump gestartet, wobei unter anderem folgendes bei rauskam:

14:26:11.899027 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/28784.14895
14:26:11.899035 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/28784.14895
14:26:11.899040 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42778.0
14:26:11.899045 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/43728.0
14:26:16.898793 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/45363.0
14:26:16.898801 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/40270.0
14:26:16.898806 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/43294.0
14:26:16.898811 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42838.0
14:26:21.898692 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42837.0
14:26:21.898699 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/55290.0
14:26:21.898704 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/45558.0
14:26:21.898708 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/38463.0
14:26:26.898582 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/49876.0
14:26:26.898589 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/38461.0
14:26:26.898594 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/39958.0
14:26:26.898599 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/26992.28730

Kann mir jemand erklären was da läuft? Wie viele MacOS-user kann ich mit der Oberfläche einigermaßen umgehen, bin aber auch immer wieder neugierig, was da so im Hintergrund passiert. Es beeindruckt mich mächtig, bleibt aber ziemlich unverstanden.

Gruß
visby7
 
IPX ist ein netware protocol...
hast du da irgendwelche novell server am laufen?
welches gerät bei dir im LAN hat denn die MAC 00:a0:57:10:33:d5?
der spammt das ganze netz zu mit den request...
 
Das ist IPX Traffic.

Eigentlich obsolet. Hast du noch Novell Server, Spiele, die mit IPX laufen (gabs früher viele), oder Printer, die IPX unterstützen?

Aus den ersten 24 Bits der Mac Adresse kannst du übrigens (mit einer gewissen Fehlerwahrscheinlichkeit, da sie gespoofed werden kann) den Hersteller der NIC erfahren.

Edit: http://standards.ieee.org/regauth/oui/index.shtml
 
Zuletzt bearbeitet:
Diese MAC-Adresse "00:a0:57:10:33:d5" finde ich weder irgendwo auf meinem Rechner noch bei "standards.ieee.org". An Diensten läuft auf dem Rechner: Personal File Sharing, Windows Sharing und Printer Sharing. Im Netz ist bis auf den Router, ein Ethernet-Switch und ein uralter Ethernet-Hub sonst keine weitere Maschine in Betrieb. Am USB-Port hängt über ein USB-Hub ein Brother-Drucker/Fax/Scanner. Am Rechner hängt noch ein zweiter Monitor. Ein Novell-Server läuft nicht (zumindest nicht zu dem Zeitpunkt als tcpdump registriert wurde). Mit was für Servern ich mich sonst so verbinde, weiß ich nicht.

Was könnte man noch unternehmen, um die Quelle dieser ipx-requests zu finden?
 
Kommt der Traffic von Deinem Rechner? Dann schmeiss doch mal LittleSnitch an und guck, welches Programm das anfordert
 
Jetzt habe ich etwas gefunden, was möglicherweise weiter hilft:

attachment.php


Da erscheint die obscure MAC-Adresse! und nun?
 
schalte den IPX router aus...
 
habe den ipx-Router abgeschaltet und es ist tatsächlich ruhiger geworden. Nun habe ich im Netz den PC-(XP) eingeschaltet. Nun erscheint, wenn auch sehr viel seltener folgendes:

20:51:54.507207 IP lancom-visby.intern.bootpc > broadcasthost.bootps: BOOTP/DHCP, Request from 00:a0:57:10:33:d5, length: 264
20:52:11.693886 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
20:52:12.469244 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
20:52:13.244615 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
20:52:17.317961 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 122
20:52:17.566754 IP lancom-visby.intern.ntp > 192.168.47.255.ntp: NTPv3 bcast, strat 2, poll 6, prec -7
20:52:17.653170 IP pc-visby.intern.netbios-dgm > 192.168.47.255.netbios-dgm: NBT UDP PACKET(138)
20:52:18.318498 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 113
20:52:20.319135 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 119
20:52:22.319763 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 117
20:52:23.320288 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 124
20:52:32.099770 (NOV-802.2) 00000000.00:50:bf:d4:98:ad.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-resp 2973474065/1.2

Wo kommt das denn jetzt her? Auch mit anderer MAC-Adresse!
 
Ganz ruhig bekommst Du das Netzwerk eh nicht - was ist eigentlich das Problem genau?
 
ein Problem gibt es eigentlich gar nicht ;)

Ich hatte nur das Bedürfnis, ein bisschen zu verstehen, was dieser Netzwerktraffic beinhaltet. Es wird mir aber jetzt doch zu kompliziert.

Es läuft ja alles super. Und als MacOS-user kommt man schließlich auch ohne kryptische Kommandozeilen in irgendwelchen Terminal-Windows zurecht.

Man ist eben in meinem Alter (58 J) auch manchmal noch recht neugierig.

"Der Vorhang zu und alle Fragen offen!"
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten