6
MAC ändert sich willkürlich
wusste nicht richtig in welches Thema es passt, hat etwas von LAN, Netzsicherheit und Hardware
Hallo,
ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.
Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01
Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....
Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....
Danke für nützliche Hinweise.
Hallo,
ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.
Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01
Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....
Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....
Danke für nützliche Hinweise.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79549
Url: https://administrator.de/contentid/79549
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
MAC-Adressen, die sich von selber ändern sind seltsam. Normalerweise ist die MAC, außer sie wird gespooft, für jedes Gerät einmalig. Die ersten 6 Stellen sind der Hersteller und die anderen 6 Stellen sind eine Art laufende Nummer.
Wenn mehrere Geräte (z.B. virtuelle Server) die eingebaute NIC als Durchgang benutzen, können sie eingestellt werden, dass sie eine andere Adresse übermitteln. Kommt jedoch auf die Virtualisierungssoftware an.
Ein paar Infos zum Netz, der Hard- und Software wären eventuell hilfreich. Vielleicht könnte man so noch einige Rückschlüsse ziehen.
Wenn mehrere Geräte (z.B. virtuelle Server) die eingebaute NIC als Durchgang benutzen, können sie eingestellt werden, dass sie eine andere Adresse übermitteln. Kommt jedoch auf die Virtualisierungssoftware an.
Ein paar Infos zum Netz, der Hard- und Software wären eventuell hilfreich. Vielleicht könnte man so noch einige Rückschlüsse ziehen.
Normalerweise geht das nicht, vermutlich ist was defekt, gerne auch die NIC selber.
Homogenes 3Com Netzwerk 4400 und 5500 Switche. BS Windows XP und 2000. Werden immer zentral gepacht. PC Netzkarten verschiedene Typen von 3Com und Intel. Fehler tritt bei beiden auf.
Zur Software kann ich nicht viel sagen, haben ca. 200 verschiedene Produkte im Einsatz, sind halt eine öffentliche Verwaltung
MAC adressen sind nicht so einmalig wie alle denken.
1. hatten wir schon den Fall das 2 Netzkarten die gleiche hatten, es war aber ein serie von Plagiaten.
2. Kann man, selbst unter windows, ganz einfach die MAC, ohne irgendwelche tools, ändern.
In meinem Fall sind die Änderungen ab nicht händisch gemacht wurden...
Zur Software kann ich nicht viel sagen, haben ca. 200 verschiedene Produkte im Einsatz, sind halt eine öffentliche Verwaltung
MAC adressen sind nicht so einmalig wie alle denken.
1. hatten wir schon den Fall das 2 Netzkarten die gleiche hatten, es war aber ein serie von Plagiaten.
2. Kann man, selbst unter windows, ganz einfach die MAC, ohne irgendwelche tools, ändern.
In meinem Fall sind die Änderungen ab nicht händisch gemacht wurden...
hoffentlich sind bloß die NICs defekt. Wenns das schon wäre, wäre es gut....
Hi,
wie findest du das mit den geänderten MACS heraus?
Mit IPconfig -all und da steht dann immer etwas anderes?
Was machst du mit dem Rechner neben dir, wohin will der Drucken?
Ohne angeschlossenes Netz ändert der auch seine Mac Adresse, wenn du "druckst"?
Mit Ethreal oder im DHCP Server oder "meldet" das "nur" die Überwachungssoftware?
Hmm "öffentliche Verwaltung" und Plagiate, bist du sicher, das die Switche "echt" sind???
Sorry, aber dein Problem ist wirklich nicht alltäglich, entschuldige meine "doofen" Fragen...
Zum Thema 3com & Intel NICs- ja da gibt des öfteren Probleme in großen Netzen....
(wir hatten mal mehr 3coms als Intels als ein Schwesterunternehmen, wir hatten die Probleme mit den Intels, unsere "Schwester", die mehr Intels als 3coms hatte - mit den 3Coms) das ist erst verschwunden, als wir komplett auf Broadcom und HP Switche gewechselt haben.
Nachtrag:
Kennst Du den Teil der Registry schon?
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000]
gibts dort einen den Unterschlüssel "NetworkAddress" - der sollte da nicht drin sein, wenn ja, ist das die MAC, die das System ausgibt....
Nachtrag 2:
Mooooment...
also, wenn die Macs sich wirklich dauernd ändern sollten, dann müßte euer Netz doch extrem Lahm sein, denn nur mit Broadcast würden sich die Systeme dann erkennen können...
Wie funktioniert eure Portsecurity? Mittels Telnet die Switche abfragen und dann in eine Tabelle schreiben?
Was sagt Arp -a auf dem DC oder DHCP? Ändern sich dort wirklich die Daten, oder kommt die Info aus der Portsecurity?
wie findest du das mit den geänderten MACS heraus?
Mit IPconfig -all und da steht dann immer etwas anderes?
Was machst du mit dem Rechner neben dir, wohin will der Drucken?
Ohne angeschlossenes Netz ändert der auch seine Mac Adresse, wenn du "druckst"?
Mit Ethreal oder im DHCP Server oder "meldet" das "nur" die Überwachungssoftware?
Hmm "öffentliche Verwaltung" und Plagiate, bist du sicher, das die Switche "echt" sind???
Sorry, aber dein Problem ist wirklich nicht alltäglich, entschuldige meine "doofen" Fragen...
Zum Thema 3com & Intel NICs- ja da gibt des öfteren Probleme in großen Netzen....
(wir hatten mal mehr 3coms als Intels als ein Schwesterunternehmen, wir hatten die Probleme mit den Intels, unsere "Schwester", die mehr Intels als 3coms hatte - mit den 3Coms) das ist erst verschwunden, als wir komplett auf Broadcom und HP Switche gewechselt haben.
Nachtrag:
Kennst Du den Teil der Registry schon?
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000]
gibts dort einen den Unterschlüssel "NetworkAddress" - der sollte da nicht drin sein, wenn ja, ist das die MAC, die das System ausgibt....
Nachtrag 2:
Mooooment...
also, wenn die Macs sich wirklich dauernd ändern sollten, dann müßte euer Netz doch extrem Lahm sein, denn nur mit Broadcast würden sich die Systeme dann erkennen können...
Wie funktioniert eure Portsecurity? Mittels Telnet die Switche abfragen und dann in eine Tabelle schreiben?
Was sagt Arp -a auf dem DC oder DHCP? Ändern sich dort wirklich die Daten, oder kommt die Info aus der Portsecurity?
Die Portsecurity funktioniert über das ActiveDirectory nach einer Schemaerweiterung kann man jedem PC konto (PC konten müssen dann auch für z.B. für Netzdrucker angelegt werden) eine MAC zuweisen. Dann noch eine Regel ob der Netzwerkzugriff gewährt oder verweigert wird. Die Switche schicken dann einen Event, inclusive MAC, zum Radiusserver. Dieser fragt dann mit das AD ab, ob die MAC darf oder nicht. Dann wird ein Ereignis ins Log der Radiusservers geschrieben, fals ein Fehler kommt (MAC darf nicht) werden mails an die verantwortlichen admins geschickt.
Die MAC Adressen ändern sich nur für einen kurzen Moment und danach ist es wieder die originale der NIC. Es passiert also nicht händisch durch irgendwelche Nutzer.
Bei dem einen PC ist das so wenn er auf einen Netzwerkdrucker druckt dann ändert sich kurz die MAC. Das habe ich ca. 8 mal wiederholt und der Fehler lässt sich reproduzieren.
Mit den Plagiaten war das so, es gab mal gefälschte NICs von 3Com die alle die gleiche MAC hatten. Davon haben wir 2 NICs im Einsatz gehabt. Das ist aber behoben.
Zu Thema 3Com und Intel NICs im gleichen Netz. Wir haben nur Probleme das die Intelkarten auf Auto und die 3Com karten auf 100full eingestellt werden müssen, die Switchports genauso. So laufen keine errors auf den Ports auf und es geht auch sehr schnell.
zum Nachtrag 1: Wert ist nicht gesetzt
zum Nachtrag 2: Die Daten kommen aus der Portsecurity, das Netz ist nicht langsam, Nettoraten von 88Mbit/s vom PC über den Backbone zum Server. (Als Beispiel von meinem PC gemessen mit ipperf.exe)
Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner....
Die MAC Adressen ändern sich nur für einen kurzen Moment und danach ist es wieder die originale der NIC. Es passiert also nicht händisch durch irgendwelche Nutzer.
Bei dem einen PC ist das so wenn er auf einen Netzwerkdrucker druckt dann ändert sich kurz die MAC. Das habe ich ca. 8 mal wiederholt und der Fehler lässt sich reproduzieren.
Mit den Plagiaten war das so, es gab mal gefälschte NICs von 3Com die alle die gleiche MAC hatten. Davon haben wir 2 NICs im Einsatz gehabt. Das ist aber behoben.
Zu Thema 3Com und Intel NICs im gleichen Netz. Wir haben nur Probleme das die Intelkarten auf Auto und die 3Com karten auf 100full eingestellt werden müssen, die Switchports genauso. So laufen keine errors auf den Ports auf und es geht auch sehr schnell.
zum Nachtrag 1: Wert ist nicht gesetzt
zum Nachtrag 2: Die Daten kommen aus der Portsecurity, das Netz ist nicht langsam, Nettoraten von 88Mbit/s vom PC über den Backbone zum Server. (Als Beispiel von meinem PC gemessen mit ipperf.exe)
Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner....
