ARP Phänomen

Mitglied: eazy-isi

eazy-isi (Level 1) - Jetzt verbinden

08.02.2010 um 10:01 Uhr, 3434 Aufrufe, 5 Kommentare

Hallo zusamnen,

wir haben bei uns im LAN sog. Kontakterminals die Daten an unser BDE-System übermitteln.
Letzte Woche sind plötzlich alle Kontaktterminals zum gleichen Zeitpunkt ausgefallen bzw.
waren nicht mehr erreichbar. Ein Reset der Netzwerkkarte und anschliessendes setzen der IP
funktionierte Problemlos.
Am nächsten Tag dasselbe. Terminals wieder nicht erreichbar.
Eine Rücksprache mit dem Gerätehersteller ergab, das es möglich ist die IP per "arp -s" zu verändern.
Nachdem diese Option deaktiviert wurde laufen die Terminals wieder problemlos.
Da wir aber keine neuen Geräte im Netz haben und auch keine neue Software installiert wurde, ist es mir eine Rätsel
was die Terminals deaktiviert hat, bzw. was übers LAN einen ARP-s sendet der die IP der Geräte ändert.
Die Terminals liefen jetzt seit 2002 ohne jegliche Probleme.
Hat jemand eine Idee was so etwas verursachen kann ?

Gruß
eazy_isi
Mitglied: crashzero2000
08.02.2010 um 10:11 Uhr
Moinsen,

oh, das kann alles möglich sein.
Ich würde mal über einen Zeitraum das Netz "Sniffen" und aufzeichnen mit dem Schwerpunkt auf ARP´s im Netz.
Bitte warten ..
Mitglied: aqui
08.02.2010 um 10:27 Uhr
Ohne das du überhaupt einmal mitteilst unter welchem OS diese "Terminals" arbeiten und wie sie kommunizieren kannst du für eine Fehlersuche auch gleich hier nachsehen !
arp -s bedingt ja das physisch jemand Zugriff auf jedes einzelne Terminal bekommt und manuell den ARP Cache manipuliert. Recht ungewöhnlich zumal wenn es Terminals sind.
Aber wie gesagt ohne detailiertere Infos ist das Kaffeesatz Leserei..nicht mehr. Nimm wie oben bereits vorgeschlagen einen Sniffer zur Hand und logge den Traffic eines Terminals mal mit um zu sehen was dort genau passiert....
Bitte warten ..
Mitglied: eazy-isi
08.02.2010 um 13:13 Uhr
Sorry das ich mich so ungenau ausgedrückt habe.
Diese sog. "Kontaktterminals" sind einfach nur eine Schnittstelle zwischen einer CNC-Fräse und unserem BDE-System. Es wird einfach nur erfasst ist die Maschine "AN" oder "AUS" bzw. läuft die
Spindel der Maschine. Diese Info wird vom "sog. Terminal" verarbeitet und per Ethernet-Schnittstelle übermittelt.
Im großen und ganzen ist einfach eine Seriell to Ethernet Schnittstelle.
Zugriff auf die Terminals zwecks Konfiguration erfolgt per Telnet.
Einen ARP Cache in diesem Sinne haben diese Geräte ja nicht, es gibt nur die Möglichkeit über arp-s die IP zu setzen.

Ein direkter physikalischer Zugriff ist nicht möglich da sie die Geräte in abgeschlossenen Schränken befinden.
Somit bleibt für mich nur die Möglichkeit das die Geräte übers LAN manilupiert wurden.
Bitte warten ..
Mitglied: aqui
08.02.2010 um 13:25 Uhr
Das ist natürlich fatal wenn sowas mit arp -s ungeschützt machbar ist. Mit einem simplen Skript im Netz sind dann deine Terminals "abschiessbar". Vermutlich ist das auch passiert und dann hilft nur diese Funktion zu deaktivieren oder mit einem Passwort Account zu versehen um sicher zu sein.
Bitte warten ..
Mitglied: filippg
08.02.2010 um 22:31 Uhr
Hallo,

wo (auf welchen Geräten) soll denn dieses arp -s eigentlich durchgeführt werden? I.A. kann man damit nicht die IP-Adresse des Interfaces ändern (schon gar nicht eines Remote-Interfaces), sondern höchstens dafür sorgen, dass es Pakete an andere Hosts (die von der Applikation per IP adressiert werden) an die falsche MAC-Adresse (und somit den falschen Host) sendet. Weiterhin muss man i.A. auch nicht die Geräte zurücksetzen o.ä., sondern lediglich den falschen Arp-Eintrag wieder löschen.
Wenn dieses Problem irgendetwas mit MAC-Adressen (dafür ist arp da) zu tun haben sollte, würde ich am ehesten beim Switch suchen. Der hat auch eine ARP-Table, und wenn der Switch einen Schuss hat, macht die schonmal komische Dinge. Weiterhin sollte eine MAC-Adresse weltweit eindeutig sein, manche Hersteller schludern aber und vergeben sie doppelt. Wenn man solche Geräte im Netz hat kommt es durchaus auch vor, dass der Switch amok läuft, weil er einen Angriff vermutet.

Gruß

Filipp
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 1 TagFrageHTML17 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Netzwerke
Lan sperre (vieleicht)
gelöst 147852Vor 9 StundenFrageNetzwerke49 Kommentare

Hi Leute habe ein Problem, mein Vater hat mir eine Internet sperre gegeben ,aber keine normale. das Problem : mein Internet verschwindet am pc ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
gelöst Wicky1Vor 1 TagFrageHardware16 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Windows Server
Server-Internetverbindung kurz trennen und wieder aktivieren
gelöst imebroVor 1 TagFrageWindows Server11 Kommentare

Hallo, wir haben im Moment fast täglich immer wieder Ausfälle unserer Internetverbindung. Unser Provider sagt, dass er kein Problem feststellen kann. Aber wenn vom ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...