tcpdump

  1. visby7

    visby7 Thread StarterMacUser Mitglied

    Mitglied seit:
    09.09.2005
    Beiträge:
    25
    Zustimmungen:
    0
    Hallo Community,

    gestern gab es hier einen super spannenden thread über einen merkwürdig hohen Traffic. Leider keine Auflösung! Am Ende: Vorhang zu und alle Fragen offen.

    Beim Mitspielen habe ich auch ein tcpdump gestartet, wobei unter anderem folgendes bei rauskam:

    14:26:11.899027 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/28784.14895
    14:26:11.899035 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/28784.14895
    14:26:11.899040 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42778.0
    14:26:11.899045 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/43728.0
    14:26:16.898793 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/45363.0
    14:26:16.898801 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/40270.0
    14:26:16.898806 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/43294.0
    14:26:16.898811 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42838.0
    14:26:21.898692 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/42837.0
    14:26:21.898699 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/55290.0
    14:26:21.898704 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/45558.0
    14:26:21.898708 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/38463.0
    14:26:26.898582 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/49876.0
    14:26:26.898589 (NOV-802.3) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/38461.0
    14:26:26.898594 (NOV-802.2) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/39958.0
    14:26:26.898599 (NOV-ETHII) 00000000.00:a0:57:10:33:d5.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-req 4294967295/26992.28730

    Kann mir jemand erklären was da läuft? Wie viele MacOS-user kann ich mit der Oberfläche einigermaßen umgehen, bin aber auch immer wieder neugierig, was da so im Hintergrund passiert. Es beeindruckt mich mächtig, bleibt aber ziemlich unverstanden.

    Gruß
    visby7
     
    visby7, 19.03.2006
  2. oneOeight

    oneOeightMacUser Mitglied

    Mitglied seit:
    23.11.2004
    Beiträge:
    48.176
    Zustimmungen:
    3.891
    IPX ist ein netware protocol...
    hast du da irgendwelche novell server am laufen?
    welches gerät bei dir im LAN hat denn die MAC 00:a0:57:10:33:d5?
    der spammt das ganze netz zu mit den request...
     
    oneOeight, 19.03.2006
  3. Incoming1983

    Incoming1983MacUser Mitglied

    Mitglied seit:
    23.07.2005
    Beiträge:
    7.545
    Zustimmungen:
    1
    Das ist IPX Traffic.

    Eigentlich obsolet. Hast du noch Novell Server, Spiele, die mit IPX laufen (gabs früher viele), oder Printer, die IPX unterstützen?

    Aus den ersten 24 Bits der Mac Adresse kannst du übrigens (mit einer gewissen Fehlerwahrscheinlichkeit, da sie gespoofed werden kann) den Hersteller der NIC erfahren.

    Edit: http://standards.ieee.org/regauth/oui/index.shtml
     
    Incoming1983, 19.03.2006
  4. visby7

    visby7 Thread StarterMacUser Mitglied

    Mitglied seit:
    09.09.2005
    Beiträge:
    25
    Zustimmungen:
    0
    Diese MAC-Adresse "00:a0:57:10:33:d5" finde ich weder irgendwo auf meinem Rechner noch bei "standards.ieee.org". An Diensten läuft auf dem Rechner: Personal File Sharing, Windows Sharing und Printer Sharing. Im Netz ist bis auf den Router, ein Ethernet-Switch und ein uralter Ethernet-Hub sonst keine weitere Maschine in Betrieb. Am USB-Port hängt über ein USB-Hub ein Brother-Drucker/Fax/Scanner. Am Rechner hängt noch ein zweiter Monitor. Ein Novell-Server läuft nicht (zumindest nicht zu dem Zeitpunkt als tcpdump registriert wurde). Mit was für Servern ich mich sonst so verbinde, weiß ich nicht.

    Was könnte man noch unternehmen, um die Quelle dieser ipx-requests zu finden?
     
    visby7, 19.03.2006
  5. BalkonSurfer

    BalkonSurferMacUser Mitglied

    Mitglied seit:
    27.07.2003
    Beiträge:
    5.157
    Zustimmungen:
    1
    Kommt der Traffic von Deinem Rechner? Dann schmeiss doch mal LittleSnitch an und guck, welches Programm das anfordert
     
    BalkonSurfer, 19.03.2006
  6. visby7

    visby7 Thread StarterMacUser Mitglied

    Mitglied seit:
    09.09.2005
    Beiträge:
    25
    Zustimmungen:
    0
    Jetzt habe ich etwas gefunden, was möglicherweise weiter hilft:

    [​IMG]

    Da erscheint die obscure MAC-Adresse! und nun?
     
    visby7, 19.03.2006
  7. oneOeight

    oneOeightMacUser Mitglied

    Mitglied seit:
    23.11.2004
    Beiträge:
    48.176
    Zustimmungen:
    3.891
    schalte den IPX router aus...
     
    oneOeight, 19.03.2006
  8. visby7

    visby7 Thread StarterMacUser Mitglied

    Mitglied seit:
    09.09.2005
    Beiträge:
    25
    Zustimmungen:
    0
    habe den ipx-Router abgeschaltet und es ist tatsächlich ruhiger geworden. Nun habe ich im Netz den PC-(XP) eingeschaltet. Nun erscheint, wenn auch sehr viel seltener folgendes:

    20:51:54.507207 IP lancom-visby.intern.bootpc > broadcasthost.bootps: BOOTP/DHCP, Request from 00:a0:57:10:33:d5, length: 264
    20:52:11.693886 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
    20:52:12.469244 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
    20:52:13.244615 (NOV-802.2) b13b9d11.00:00:00:00:00:01.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
    20:52:17.317961 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 122
    20:52:17.566754 IP lancom-visby.intern.ntp > 192.168.47.255.ntp: NTPv3 bcast, strat 2, poll 6, prec -7
    20:52:17.653170 IP pc-visby.intern.netbios-dgm > 192.168.47.255.netbios-dgm: NBT UDP PACKET(138)
    20:52:18.318498 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 113
    20:52:20.319135 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 119
    20:52:22.319763 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 117
    20:52:23.320288 IP powerbook.intern.ipp > 192.168.47.255.ipp: UDP, length: 124
    20:52:32.099770 (NOV-802.2) 00000000.00:50:bf:d4:98:ad.0453 > 00000000.ff:ff:ff:ff:ff:ff.0453:ipx-rip-resp 2973474065/1.2

    Wo kommt das denn jetzt her? Auch mit anderer MAC-Adresse!
     
    visby7, 19.03.2006
  9. BalkonSurfer

    BalkonSurferMacUser Mitglied

    Mitglied seit:
    27.07.2003
    Beiträge:
    5.157
    Zustimmungen:
    1
    Ganz ruhig bekommst Du das Netzwerk eh nicht - was ist eigentlich das Problem genau?
     
    BalkonSurfer, 19.03.2006
  10. visby7

    visby7 Thread StarterMacUser Mitglied

    Mitglied seit:
    09.09.2005
    Beiträge:
    25
    Zustimmungen:
    0
    ein Problem gibt es eigentlich gar nicht ;)

    Ich hatte nur das Bedürfnis, ein bisschen zu verstehen, was dieser Netzwerktraffic beinhaltet. Es wird mir aber jetzt doch zu kompliziert.

    Es läuft ja alles super. Und als MacOS-user kommt man schließlich auch ohne kryptische Kommandozeilen in irgendwelchen Terminal-Windows zurecht.

    Man ist eben in meinem Alter (58 J) auch manchmal noch recht neugierig.

    "Der Vorhang zu und alle Fragen offen!"
     
    visby7, 19.03.2006