6
Haben Broadcom NICs ein geheimes Doppelleben?
Guten Tag,
nach 28 Jahren Netzwerken stieß ich gestern auf ein mir unbekanntes und derzeit unerklärliches Phänomen. Um das überhaupt zu beschreiben muss ich ein wenig ausholen:
Ich betreibe an unserem Büro- und Wohnort ein kleines Rechenzentrum. 11 physikalische Server (und diverse VMs) hinter einem Sophos UTM-Cluster. Es gibt hinter dieser UTM 3 öffentliche 28er-Netze, 1 privates Netz als Server- und Backup-BackBone und 1 privates Netz für Arbeitsplätze, WLAN etc (Office-LAN). Nur im Office-LAN läuft DHCP, überwiegend mit reservierten IPs.
Gestern schaue ich mal nach diesem DHCP und stelle fest, dass es 4 nicht reservierte Leases gibt, die mir unbekannt sind. Auffällig: die MAC-Adressen sind identisch in den ersten 5 Segmenten, die jeweils sechsten Segmente haben die Werte 41, 43, 45 und 47. Das deutet für mich auf ein Mehrfach-NIC eines Servers (ich habe ausschließlich Dells hier stehen). Und tatsächlic finde ich auf einem älteren R510 (läuft hier nur als Backup-Ziege) heraus, dass der onBoard 4fach-NIC (QLogic BCM5709C Gigabit Ethernet) exakt diese MAC-Adresse hat, nur eben mit den End-Segmenten 40, 42, 44 und 46 (!!!).
Ich habe die Maschine heute kontrolliert neu gestartet und bestätigt, dass es zweifelsfrei diese Maschine ist, die die DHCP-Leases auslöst. Ich kann die vergebenen IPs anpingen, ein Portscan ergibt jedoch keine ansprechbaren Dienste oder Shares. Auf dem Server läuft Win Server 2012R2, dort lassen sich sowohl auf der Windows-Ebene als auch über den Dell Server Administrator nur die oben genannten "geraden" Endsegmente ermitteln.
Was passiert hier?
Selbst unter der Annahme, dass die Broadcoms irgendwie eine "geheime 2. MAC-Adresse" haben sollten, so müsste ja irgendein Agent oder OS doch erst einmal dafür sorgen, dass ein DHCP-Client überhaupt ausgeführt wird. Wie käme dieser an die "geheimen" MAC-Adressen? Warum war das bisher nicht so? Das Setup läuft hier so mehr oder weniger unverändert seit 2,5 Jahren, es gab ewig lange keine Reboots etc.
Vielen Dank für Euer Interesse, Haimo
nach 28 Jahren Netzwerken stieß ich gestern auf ein mir unbekanntes und derzeit unerklärliches Phänomen. Um das überhaupt zu beschreiben muss ich ein wenig ausholen:
Ich betreibe an unserem Büro- und Wohnort ein kleines Rechenzentrum. 11 physikalische Server (und diverse VMs) hinter einem Sophos UTM-Cluster. Es gibt hinter dieser UTM 3 öffentliche 28er-Netze, 1 privates Netz als Server- und Backup-BackBone und 1 privates Netz für Arbeitsplätze, WLAN etc (Office-LAN). Nur im Office-LAN läuft DHCP, überwiegend mit reservierten IPs.
Gestern schaue ich mal nach diesem DHCP und stelle fest, dass es 4 nicht reservierte Leases gibt, die mir unbekannt sind. Auffällig: die MAC-Adressen sind identisch in den ersten 5 Segmenten, die jeweils sechsten Segmente haben die Werte 41, 43, 45 und 47. Das deutet für mich auf ein Mehrfach-NIC eines Servers (ich habe ausschließlich Dells hier stehen). Und tatsächlic finde ich auf einem älteren R510 (läuft hier nur als Backup-Ziege) heraus, dass der onBoard 4fach-NIC (QLogic BCM5709C Gigabit Ethernet) exakt diese MAC-Adresse hat, nur eben mit den End-Segmenten 40, 42, 44 und 46 (!!!).
Ich habe die Maschine heute kontrolliert neu gestartet und bestätigt, dass es zweifelsfrei diese Maschine ist, die die DHCP-Leases auslöst. Ich kann die vergebenen IPs anpingen, ein Portscan ergibt jedoch keine ansprechbaren Dienste oder Shares. Auf dem Server läuft Win Server 2012R2, dort lassen sich sowohl auf der Windows-Ebene als auch über den Dell Server Administrator nur die oben genannten "geraden" Endsegmente ermitteln.
Was passiert hier?
Selbst unter der Annahme, dass die Broadcoms irgendwie eine "geheime 2. MAC-Adresse" haben sollten, so müsste ja irgendein Agent oder OS doch erst einmal dafür sorgen, dass ein DHCP-Client überhaupt ausgeführt wird. Wie käme dieser an die "geheimen" MAC-Adressen? Warum war das bisher nicht so? Das Setup läuft hier so mehr oder weniger unverändert seit 2,5 Jahren, es gab ewig lange keine Reboots etc.
Vielen Dank für Euer Interesse, Haimo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 649501
Url: https://administrator.de/contentid/649501
Printed on: April 26, 2024 at 21:04 o'clock
6 Comments
Latest comment
Hallo,
ich bin mit dem R510 nicht (mehr) vertraut.
Hat der Server di Möglichkeit zum Remotemanagemet (iDRAC)?
We ja, schau mal dort in den Einstellugen bzw. Zuordnungen der Netzwerkkarten nach.
CH
ich bin mit dem R510 nicht (mehr) vertraut.
Hat der Server di Möglichkeit zum Remotemanagemet (iDRAC)?
We ja, schau mal dort in den Einstellugen bzw. Zuordnungen der Netzwerkkarten nach.
CH
Hallo ChriBo,
ja, aber es ist eine eigene iDRAC-Karte verbaut und auch aktiviert. Das fällt meiner Ansicht nach raus als Option.
ja, aber es ist eine eigene iDRAC-Karte verbaut und auch aktiviert. Das fällt meiner Ansicht nach raus als Option.
Hab es sicherheitshalber noch mal nachgesehen.
Die iDRAC-Karte IST aktiv, ist konfiguriert und funktioniert.
Die 4 IPs, die vergeben werden, reagieren nicht auf Remote-Anfragen.
Die iDRAC-Karte IST aktiv, ist konfiguriert und funktioniert.
Die 4 IPs, die vergeben werden, reagieren nicht auf Remote-Anfragen.
Warum nimmst du nicht einmal einen Wireshark Sniffer zur Hand und siehst dir mal die Kommunikation zu diesen ominösen IPs an. Das sollte in 3 Minuten klären was die mit ihrem "Doppelleben" so treiben und warum ! Wäre doch das Einfachste... 
War auf dem Plan - es ist Sonntag
Dann weiß ich zumindest, _was_ da läuft und ob, aber wohl immer noch nicht _warum_. Mal schauen.
Dann weiß ich zumindest, _was_ da läuft und ob, aber wohl immer noch nicht _warum_. Mal schauen.
Also Wireshark findet nicht viel:
Pings wenn man pingt, ARPs, das wars.
Klärt meine Frage nicht wirklich...
Pings wenn man pingt, ARPs, das wars.
Klärt meine Frage nicht wirklich...