bolle01
Goto Top

netzwerk trace richtig deuten

Hallo ich habe einen Netzwerk Trace bekommen aber beim interpertieren bin ich ein wenig unschlüssig.


Ich interpretiere ihn so: Der Rechner (10.15.15.12) hat versucht sich unter einen vorhandenen NetBIOS Namen anzumelden. Der WINS Server versuch den Besitzer zu erreichen (NAME QUERY REQUEST). Hätte der Server den bisherigen Inhaber des Namens erreicht, hätte er ein (NAME QUERY RESPONSE) an 10.15.15.10 mit einer Fehlermeldung gesendet. Ich kann aber keine Fehlermeldung erkennen (NAME QUERY RESPONSE, NO ERROR). Richtig?


Source: 10.15.15.1
Destination: 10.15.15.12
Protocol: NBNS
Info: Name: Name querey responce NB 10.15.15.1

Frame 2242 (104) on wire, 104 captured)
Ethernet II
Internet Protocol, Scr Addr: 10.15.15.1 (10.15.15.1), Dst Adrr: 10.15.15.12 (10.15.15.12)
Version 4
Header length: 20 bytes
Defferentiated services field: 0x00 (DSCP) 0x00 : Default; ECN: 0x00)
Total Length 90
Identification 0x0f77
Flags 0x00
Fragment offset 0Time to live 128
Protocol UDP (0x11)
Header checksum 0xf8f1 (correct)
Source 10.15.15.1
Destination 10.15.15.12
User Datagram Protocol SRC Port 137, DST Port 137
NetBIOS Name Service
Transaction ID 0x8008
Flags 0x8580 (Name query response, no error)
Question 1
Answer RRS 1
Authority RRS 0
Additional RSS 0
Answers
SERVER-FSW<20> type NB Class inet
Name SERVER-FSW<20> (Server Service)
Type NB
Class inet
Time to live 0
Data lenght 6
Flags. 0x6000 (H-node, unique)
Addr: 10.15.15.1


mfg bolle01

Content-Key: 106138

Url: https://administrator.de/contentid/106138

Printed on: June 16, 2024 at 16:06 o'clock

Member: aqui
aqui Jan 16, 2009 at 09:18:54 (UTC)
Goto Top
Nein, falsch ! Der Rechner 10.15.15.1 (Er ist ja die Quell also Source Adresse) antwortet (Name Query Respone="Antwort") dem Rechner 10.15.15.12 mit einem Name Service Response (UDP 137).

10.15.15.1 hat ihm vermutlich einen Windows Resourcennamen mitgeteilt und .12 antwortet mit einem OK darauf das er das verstanden hat.

Man müsste mehr von der Kommunikation sehen um exakt sagen zu können was das ist.
Sieht aber nach diesem Paket zu urteilen wie eine stinknormale Winblows Name Service Konversation zwischen einem Server .1 ??? und einem Client .12 ??? aus !!
Member: bolle01
bolle01 Jan 16, 2009 at 11:12:52 (UTC)
Goto Top
oh,
vielen danke

mfg bolle01