3
Dell Optiplex GX620 senden Broadcasts obwohl sie ausgeschaltet sind.
Moin,
ich hab ein kurioses Phänomen mit unseren Dell Optiplex GX620
Und zwar hab ich folgendes Problem, wenn die Computer ausgeschaltet sind, senden sie komischerweise trotzdem Broadcastanfragen auf die 172.27.111.1, solch eine Adresse gibt es bei uns im Netzwerk nicht und ich wüsste auch nicht was er damit will.
Die Suche bei Google hat leider auch nichts ergeben.
Meine Frage ist, warum tun sie das und wie kann ich das unterbinden?
WOL wurde im Bios schon deaktiviert, wobei er beimWOL ja auf das Magic Packet wartet und keine Anfragen raus sendet
LG
Thomas
ich hab ein kurioses Phänomen mit unseren Dell Optiplex GX620
Und zwar hab ich folgendes Problem, wenn die Computer ausgeschaltet sind, senden sie komischerweise trotzdem Broadcastanfragen auf die 172.27.111.1, solch eine Adresse gibt es bei uns im Netzwerk nicht und ich wüsste auch nicht was er damit will.
Die Suche bei Google hat leider auch nichts ergeben.
Meine Frage ist, warum tun sie das und wie kann ich das unterbinden?
WOL wurde im Bios schon deaktiviert, wobei er beimWOL ja auf das Magic Packet wartet und keine Anfragen raus sendet
LG
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180637
Url: https://administrator.de/contentid/180637
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
3 Kommentare
Neuester Kommentar
Wie haste das den überprüft?
Haste das mit einem Sniffer mitgelesen? MITM oder einfach so drauf los?
Hier mal was Wiki dazu sagt:
"Das Datenpaket ist entweder direkt an die Netzwerkkarte adressiert oder wird als Broadcast verschickt. Es enthält sechsmal in Folge den hexadezimalen Wert FF; unmittelbar danach erscheint die ununterbrochene 16-malige Wiederholung der MAC-Adresse der Netzwerkkarte. Dieser Inhalt kann in ein beliebiges Paket (z. B. IP, IPX) verpackt sein. Es existieren viele Software-Tools (z. B. etherwake für unixähnliche Betriebssysteme), um solche Pakete zu versenden."
Guck mal bei WireShark in die Datenpakete rein wie es dort aussieht.
Um was für Netzwerkkarten handelt es sich?
Haste das mit einem Sniffer mitgelesen? MITM oder einfach so drauf los?
Hier mal was Wiki dazu sagt:
"Das Datenpaket ist entweder direkt an die Netzwerkkarte adressiert oder wird als Broadcast verschickt. Es enthält sechsmal in Folge den hexadezimalen Wert FF; unmittelbar danach erscheint die ununterbrochene 16-malige Wiederholung der MAC-Adresse der Netzwerkkarte. Dieser Inhalt kann in ein beliebiges Paket (z. B. IP, IPX) verpackt sein. Es existieren viele Software-Tools (z. B. etherwake für unixähnliche Betriebssysteme), um solche Pakete zu versenden."
Guck mal bei WireShark in die Datenpakete rein wie es dort aussieht.
Um was für Netzwerkkarten handelt es sich?
Also aufgefallen ist das Pänomen bei einer Routineuntersuchung mit Wireshark.
Dabei sind mir halt sehr viele Broadcast anfragen von ausgeschalteten Dell Rechner aufgefallen, das konnte ich sehen da vor der MAC der Name Dell steht und keine bei uns in Netz vergebene IP Adressen zum versenden verwendet wurde.
Die Suchanfrage geht von allen Rechnern immer an eine bestimmte IP-Adresse (172.27.111.1)
Und es folgen auch keine weiteren Pakete bis auf die Broadcast anfragen.
Die Netzwerkkarte müsste eine Broadcom NetXtreme Gigabit Ethernet sein, kann dir das aber nicht 100%ig sagen, da ich schon zuhause bin.
Getestet wurde auch direkt mit einem Notebook und Wireshark an der NIC eines Dell Rechners um sicher zu gehen das es auch von dennen kommt.
In die Datenpakete kann ich erst am Dienstag wieder rein gucken, aber er sind soweit wie ich gesehen hab nur "Normale" Broadcast anfragen die eine bestimmte IP (172.27.111.1) suchen.
Dabei sind mir halt sehr viele Broadcast anfragen von ausgeschalteten Dell Rechner aufgefallen, das konnte ich sehen da vor der MAC der Name Dell steht und keine bei uns in Netz vergebene IP Adressen zum versenden verwendet wurde.
Die Suchanfrage geht von allen Rechnern immer an eine bestimmte IP-Adresse (172.27.111.1)
Und es folgen auch keine weiteren Pakete bis auf die Broadcast anfragen.
Die Netzwerkkarte müsste eine Broadcom NetXtreme Gigabit Ethernet sein, kann dir das aber nicht 100%ig sagen, da ich schon zuhause bin.
Getestet wurde auch direkt mit einem Notebook und Wireshark an der NIC eines Dell Rechners um sicher zu gehen das es auch von dennen kommt.
In die Datenpakete kann ich erst am Dienstag wieder rein gucken, aber er sind soweit wie ich gesehen hab nur "Normale" Broadcast anfragen die eine bestimmte IP (172.27.111.1) suchen.
Die IP 172.27.111.1 ist aber keine Broadcast Adresse sondern eine schlichte Hostadresse ?
Kann es sein das du hier was verwechselst oder nicht durchschaut hast ??
Broadcast Pakete würden auch nie über einen Router gehen denn der blockt sowas per se ! Abgesehen davon das es ja auch kein Broadcast ist denn bei solch einer IP Adresse sind alle Hostbits auf logisch 1 gesetzt wie jeder Netzwerk Laie weiss. Bei deiner IP ist das nicht der Fall !
172.27. gehört zum privaten RFC 1918 IP Adressblock:
http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
sind somit also immer lokale IPs die im Internet gar nicht geroutet werden.
Vermutlich irgendwelche Fernwartungsfunktionen im BIOS die falsch konfiguriert sind.
Ausgeschlatet heisst bei dir auch vermutlich nur runtergefahren aber nicht wirklich ausgeschaltet, denn da laufen ja weite Teile der HW noch wie jeder weiss.
Zieh also mal den Netzwerkstecker....dann sollte wirklich Ruhe sein !
Außerdem: Nimm dir einen freienn Wireshark Sniffer:
http://www.wireshark.org/
oder den NetMonitor von MS:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id ...
und sieh dir diese 172.27.111.1 er Pakete doch mal ganz genau an. Anhand des Ports und des Paket Inhalts kannst du sofort auf den ersten Blick sehen WAS das ist bzw. welche Anwendung sowas schickt.
Rumraten in Foren ala "solch eine Adresse gibt es bei uns im Netzwerk nicht und ich wüsste auch nicht was er damit will." entfällt dann denn der Sniffer legt die Fakten auf den Tisch so das man zielführend suchen kann und dann meistens auch sofort fündig wird !
Kann es sein das du hier was verwechselst oder nicht durchschaut hast ??
Broadcast Pakete würden auch nie über einen Router gehen denn der blockt sowas per se ! Abgesehen davon das es ja auch kein Broadcast ist denn bei solch einer IP Adresse sind alle Hostbits auf logisch 1 gesetzt wie jeder Netzwerk Laie weiss. Bei deiner IP ist das nicht der Fall !
172.27. gehört zum privaten RFC 1918 IP Adressblock:
http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
sind somit also immer lokale IPs die im Internet gar nicht geroutet werden.
Vermutlich irgendwelche Fernwartungsfunktionen im BIOS die falsch konfiguriert sind.
Ausgeschlatet heisst bei dir auch vermutlich nur runtergefahren aber nicht wirklich ausgeschaltet, denn da laufen ja weite Teile der HW noch wie jeder weiss.
Zieh also mal den Netzwerkstecker....dann sollte wirklich Ruhe sein !
Außerdem: Nimm dir einen freienn Wireshark Sniffer:
http://www.wireshark.org/
oder den NetMonitor von MS:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id ...
und sieh dir diese 172.27.111.1 er Pakete doch mal ganz genau an. Anhand des Ports und des Paket Inhalts kannst du sofort auf den ersten Blick sehen WAS das ist bzw. welche Anwendung sowas schickt.
Rumraten in Foren ala "solch eine Adresse gibt es bei uns im Netzwerk nicht und ich wüsste auch nicht was er damit will." entfällt dann denn der Sniffer legt die Fakten auf den Tisch so das man zielführend suchen kann und dann meistens auch sofort fündig wird !
