gelöst ARP Phänomen
Hallo zusamnen,
wir haben bei uns im LAN sog. Kontakterminals die Daten an unser BDE-System übermitteln.
Letzte Woche sind plötzlich alle Kontaktterminals zum gleichen Zeitpunkt ausgefallen bzw.
waren nicht mehr erreichbar. Ein Reset der Netzwerkkarte und anschliessendes setzen der IP
funktionierte Problemlos.
Am nächsten Tag dasselbe. Terminals wieder nicht erreichbar.
Eine Rücksprache mit dem Gerätehersteller ergab, das es möglich ist die IP per "arp -s" zu verändern.
Nachdem diese Option deaktiviert wurde laufen die Terminals wieder problemlos.
Da wir aber keine neuen Geräte im Netz haben und auch keine neue Software installiert wurde, ist es mir eine Rätsel
was die Terminals deaktiviert hat, bzw. was übers LAN einen ARP-s sendet der die IP der Geräte ändert.
Die Terminals liefen jetzt seit 2002 ohne jegliche Probleme.
Hat jemand eine Idee was so etwas verursachen kann ?
Gruß
eazy_isi
wir haben bei uns im LAN sog. Kontakterminals die Daten an unser BDE-System übermitteln.
Letzte Woche sind plötzlich alle Kontaktterminals zum gleichen Zeitpunkt ausgefallen bzw.
waren nicht mehr erreichbar. Ein Reset der Netzwerkkarte und anschliessendes setzen der IP
funktionierte Problemlos.
Am nächsten Tag dasselbe. Terminals wieder nicht erreichbar.
Eine Rücksprache mit dem Gerätehersteller ergab, das es möglich ist die IP per "arp -s" zu verändern.
Nachdem diese Option deaktiviert wurde laufen die Terminals wieder problemlos.
Da wir aber keine neuen Geräte im Netz haben und auch keine neue Software installiert wurde, ist es mir eine Rätsel
was die Terminals deaktiviert hat, bzw. was übers LAN einen ARP-s sendet der die IP der Geräte ändert.
Die Terminals liefen jetzt seit 2002 ohne jegliche Probleme.
Hat jemand eine Idee was so etwas verursachen kann ?
Gruß
eazy_isi
5 Antworten
- LÖSUNG crashzero2000 schreibt am 08.02.2010 um 10:11:14 Uhr
- LÖSUNG aqui schreibt am 08.02.2010 um 10:27:51 Uhr
- LÖSUNG eazy-isi schreibt am 08.02.2010 um 13:13:13 Uhr
- LÖSUNG aqui schreibt am 08.02.2010 um 13:25:14 Uhr
- LÖSUNG eazy-isi schreibt am 08.02.2010 um 13:13:13 Uhr
- LÖSUNG aqui schreibt am 08.02.2010 um 10:27:51 Uhr
- LÖSUNG filippg schreibt am 08.02.2010 um 22:31:25 Uhr
LÖSUNG 08.02.2010 um 10:11 Uhr
Moinsen,
oh, das kann alles möglich sein.
Ich würde mal über einen Zeitraum das Netz "Sniffen" und aufzeichnen mit dem Schwerpunkt auf ARP´s im Netz.
oh, das kann alles möglich sein.
Ich würde mal über einen Zeitraum das Netz "Sniffen" und aufzeichnen mit dem Schwerpunkt auf ARP´s im Netz.
LÖSUNG 08.02.2010 um 10:27 Uhr
Ohne das du überhaupt einmal mitteilst unter welchem OS diese "Terminals" arbeiten und wie sie kommunizieren kannst du für eine Fehlersuche auch gleich hier nachsehen !
arp -s bedingt ja das physisch jemand Zugriff auf jedes einzelne Terminal bekommt und manuell den ARP Cache manipuliert. Recht ungewöhnlich zumal wenn es Terminals sind.
Aber wie gesagt ohne detailiertere Infos ist das Kaffeesatz Leserei..nicht mehr. Nimm wie oben bereits vorgeschlagen einen Sniffer zur Hand und logge den Traffic eines Terminals mal mit um zu sehen was dort genau passiert....
arp -s bedingt ja das physisch jemand Zugriff auf jedes einzelne Terminal bekommt und manuell den ARP Cache manipuliert. Recht ungewöhnlich zumal wenn es Terminals sind.
Aber wie gesagt ohne detailiertere Infos ist das Kaffeesatz Leserei..nicht mehr. Nimm wie oben bereits vorgeschlagen einen Sniffer zur Hand und logge den Traffic eines Terminals mal mit um zu sehen was dort genau passiert....
LÖSUNG 08.02.2010 um 13:13 Uhr
Sorry das ich mich so ungenau ausgedrückt habe.
Diese sog. "Kontaktterminals" sind einfach nur eine Schnittstelle zwischen einer CNC-Fräse und unserem BDE-System. Es wird einfach nur erfasst ist die Maschine "AN" oder "AUS" bzw. läuft die
Spindel der Maschine. Diese Info wird vom "sog. Terminal" verarbeitet und per Ethernet-Schnittstelle übermittelt.
Im großen und ganzen ist einfach eine Seriell to Ethernet Schnittstelle.
Zugriff auf die Terminals zwecks Konfiguration erfolgt per Telnet.
Einen ARP Cache in diesem Sinne haben diese Geräte ja nicht, es gibt nur die Möglichkeit über arp-s die IP zu setzen.
Ein direkter physikalischer Zugriff ist nicht möglich da sie die Geräte in abgeschlossenen Schränken befinden.
Somit bleibt für mich nur die Möglichkeit das die Geräte übers LAN manilupiert wurden.
Diese sog. "Kontaktterminals" sind einfach nur eine Schnittstelle zwischen einer CNC-Fräse und unserem BDE-System. Es wird einfach nur erfasst ist die Maschine "AN" oder "AUS" bzw. läuft die
Spindel der Maschine. Diese Info wird vom "sog. Terminal" verarbeitet und per Ethernet-Schnittstelle übermittelt.
Im großen und ganzen ist einfach eine Seriell to Ethernet Schnittstelle.
Zugriff auf die Terminals zwecks Konfiguration erfolgt per Telnet.
Einen ARP Cache in diesem Sinne haben diese Geräte ja nicht, es gibt nur die Möglichkeit über arp-s die IP zu setzen.
Ein direkter physikalischer Zugriff ist nicht möglich da sie die Geräte in abgeschlossenen Schränken befinden.
Somit bleibt für mich nur die Möglichkeit das die Geräte übers LAN manilupiert wurden.
LÖSUNG 08.02.2010 um 13:25 Uhr
Das ist natürlich fatal wenn sowas mit arp -s ungeschützt machbar ist. Mit einem simplen Skript im Netz sind dann deine Terminals "abschiessbar". Vermutlich ist das auch passiert und dann hilft nur diese Funktion zu deaktivieren oder mit einem Passwort Account zu versehen um sicher zu sein.
LÖSUNG 08.02.2010 um 22:31 Uhr
Hallo,
wo (auf welchen Geräten) soll denn dieses arp -s eigentlich durchgeführt werden? I.A. kann man damit nicht die IP-Adresse des Interfaces ändern (schon gar nicht eines Remote-Interfaces), sondern höchstens dafür sorgen, dass es Pakete an andere Hosts (die von der Applikation per IP adressiert werden) an die falsche MAC-Adresse (und somit den falschen Host) sendet. Weiterhin muss man i.A. auch nicht die Geräte zurücksetzen o.ä., sondern lediglich den falschen Arp-Eintrag wieder löschen.
Wenn dieses Problem irgendetwas mit MAC-Adressen (dafür ist arp da) zu tun haben sollte, würde ich am ehesten beim Switch suchen. Der hat auch eine ARP-Table, und wenn der Switch einen Schuss hat, macht die schonmal komische Dinge. Weiterhin sollte eine MAC-Adresse weltweit eindeutig sein, manche Hersteller schludern aber und vergeben sie doppelt. Wenn man solche Geräte im Netz hat kommt es durchaus auch vor, dass der Switch amok läuft, weil er einen Angriff vermutet.
Gruß
Filipp
wo (auf welchen Geräten) soll denn dieses arp -s eigentlich durchgeführt werden? I.A. kann man damit nicht die IP-Adresse des Interfaces ändern (schon gar nicht eines Remote-Interfaces), sondern höchstens dafür sorgen, dass es Pakete an andere Hosts (die von der Applikation per IP adressiert werden) an die falsche MAC-Adresse (und somit den falschen Host) sendet. Weiterhin muss man i.A. auch nicht die Geräte zurücksetzen o.ä., sondern lediglich den falschen Arp-Eintrag wieder löschen.
Wenn dieses Problem irgendetwas mit MAC-Adressen (dafür ist arp da) zu tun haben sollte, würde ich am ehesten beim Switch suchen. Der hat auch eine ARP-Table, und wenn der Switch einen Schuss hat, macht die schonmal komische Dinge. Weiterhin sollte eine MAC-Adresse weltweit eindeutig sein, manche Hersteller schludern aber und vergeben sie doppelt. Wenn man solche Geräte im Netz hat kommt es durchaus auch vor, dass der Switch amok läuft, weil er einen Angriff vermutet.
Gruß
Filipp
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
