12
Ursprung von ARP-Requests
Hallo liebes Forum,
mein Server (Windows 2012) sendet regelmäßig ARP-Requests. Er fragt nach einer IP-Adresse, die zu einem ehemaligen Server einer anderen Domäne gehört. Der ehemalige Server war im Zuge einer Systemumstellung zeitweise im neu erstellten Netzwerk eingebunden (als befreundete Domäne) und in diesem Zusammenhang waren DNS und WINS sowie einige Anwendungsprogramme mit dem alten Serververbunden.
Die Frage ist nun, welcher Prozess löst die Anfrage aus. Wireshark zeigt natürlich nicht an, warum der Request zustande kam. Da er nicht beantwortet werden kann, kann ich natürlich nicht über TCP nachsuchen. Hat jemand ne Idee? Bisher habe ich:
- DNS-Server, DHCP auf veraltete Einstellungen überprüft
- Windowsprotokolle nach Fehlermeldungen zu der betreffenden IP-Adresse abgesucht.
- Die Meisten Anwendungsprogramme auf veraltete Einstellungen hin überprüft.
- im AD nachgesehen, ob er noch irgendwo bei Organisationsvertrauen auftaucht.
... erfolglos.
Grüße
Christoph
mein Server (Windows 2012) sendet regelmäßig ARP-Requests. Er fragt nach einer IP-Adresse, die zu einem ehemaligen Server einer anderen Domäne gehört. Der ehemalige Server war im Zuge einer Systemumstellung zeitweise im neu erstellten Netzwerk eingebunden (als befreundete Domäne) und in diesem Zusammenhang waren DNS und WINS sowie einige Anwendungsprogramme mit dem alten Serververbunden.
Die Frage ist nun, welcher Prozess löst die Anfrage aus. Wireshark zeigt natürlich nicht an, warum der Request zustande kam. Da er nicht beantwortet werden kann, kann ich natürlich nicht über TCP nachsuchen. Hat jemand ne Idee? Bisher habe ich:
- DNS-Server, DHCP auf veraltete Einstellungen überprüft
- Windowsprotokolle nach Fehlermeldungen zu der betreffenden IP-Adresse abgesucht.
- Die Meisten Anwendungsprogramme auf veraltete Einstellungen hin überprüft.
- im AD nachgesehen, ob er noch irgendwo bei Organisationsvertrauen auftaucht.
... erfolglos.
Grüße
Christoph
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 249638
Url: https://administrator.de/contentid/249638
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
hast Du Daten umgezogen und / oder Anwendungen verschoben und dabei die IP Adresse gewechselt?
Vielleicht versucht Dein Server eine Freigabe zu erreichen.
Wird der Request denn (vielleicht durch einen Router oder Switch) beantwortet?
Hast Du mal in den ARP Cache geschaut, ob es eine MAC-Zuordnung zur IP Adresse gibt?
hast Du Daten umgezogen und / oder Anwendungen verschoben und dabei die IP Adresse gewechselt?
Vielleicht versucht Dein Server eine Freigabe zu erreichen.
Wird der Request denn (vielleicht durch einen Router oder Switch) beantwortet?
Hast Du mal in den ARP Cache geschaut, ob es eine MAC-Zuordnung zur IP Adresse gibt?
kann ich natürlich nicht über TCP nachsuchen.
Das wäre auch Unsinn, denn wie jeder weiss ist ARP kein TCP !Die IP oder der Hostname dieses alten Servers steht irgendwo in einem Cache oder ist statisch definiert in dem 2012er Server. Der versucht natürlich nun verzweifelt eine Verbindung dahin zu etablieren und ARPt nach dessen Mac Adresse.
Da musst du in der Tat auf dem Server selber alles durchsuchen WO dieser Eintrag sein könnte und ihn daraus entfernen.
- Freigabe
- AD
- hosts oder lmhosts Datei
arp-cache sauber, Hosts sauber, lmhosts sauber, AD habe ich natürlich komplett durchfostet. Ich hatte gehofft, dass man doch irgendwieherausbekommen könnte, wer da an die IP senden will. Da der Server auch DNS-Server ist, kann ich dann vermutlich alle Netzwerkgeräte durchforsten. - Wobei mir keine DNS-Requests aufgefallen waren.
Grüße
Grüße
@aqui
Aber wie jeder weiss und auch du wissen könntes.
ARP ist die Auflösung einer MAC-Adresse zu einer IP-Adresse!
Wenn man jetzt einen PC-mit der angefragten IP ins Netz hängt sollte der den Request beantworten.
Aber ob das weiterhilft?
Das wäre auch Unsinn, denn wie jeder weiss ist ARP >>kein TCP !
Aber wie jeder weiss und auch du wissen könntes.
ARP ist die Auflösung einer MAC-Adresse zu einer IP-Adresse!
Wenn man jetzt einen PC-mit der angefragten IP ins Netz hängt sollte der den Request beantworten.
Aber ob das weiterhilft?
ARP ist die Auflösung einer MAC-Adresse zu einer IP-Adresse!
Hat aber mit dem Frame- oder Protokolltyp im TCP/IP nichts zu tun. Nur allein darum ging es bei der Antwort !Wenn man jetzt einen PC-mit der angefragten IP ins Netz hängt sollte der den Request beantworten. Aber ob das weiterhilft?
Nein, hilft natürlich nicht. Er antwortet, klar aber lösen tut es das Problem ja nicht denn wenn du den ausschaltest wird der Server ja fröhlich weiterarpen.Alternativ kannst du ihm dann ja besser mit arp -s xyz einen statischen ARP Eintrag verpassen statt des PC Fake ! Dann muss er wenigstens nicht mehr ARPen im Netz...
natürlich ist Arp kein TCP! Ich erwähnte es, weil man mit dem netten Tool TCPView hätte herausbekommen können, wer die arpRequestete IP nutzt. Das funktioniert leider aber nicht, da ja keine arp-Antwort kommt das IP-Paket gar nicht generiert wird, gescheigedenn, eine Verbindung aufgebaut werden kann.
Ich werde aber mal versuchen, einen statischen ARP-Eintrag zu erstellen und dann mal sehen, ob was als nächstes kommt.
Ich werde aber mal versuchen, einen statischen ARP-Eintrag zu erstellen und dann mal sehen, ob was als nächstes kommt.
Zitat von @lcer00:
Ich werde aber mal versuchen, einen statischen ARP-Eintrag zu erstellen und dann mal sehen, ob was als nächstes kommt.
Ich werde aber mal versuchen, einen statischen ARP-Eintrag zu erstellen und dann mal sehen, ob was als nächstes kommt.
ich würde einfach eine Kiste mit der passenden IP-Adresse un wireshark ins Netz stellen und mal schauen, was der Server denn von dieser IP-Adresse will. Daraus kann man dann ggf. Rückschlüsse auf den Prozess/Dienst ziehen, der da Kontakt aufnehmen will.
lks
so, arp -s ging nicht. Fehlermeldung. netsh interface ipv4 add neighbors funktionierte.
Wireshark zeigt jetzt Netbios Pakete name-querys diverser Netzwerknamen an.
da suche ich mal weiter.
Wireshark zeigt jetzt Netbios Pakete name-querys diverser Netzwerknamen an.
da suche ich mal weiter.
OK, das war dämlich. In den Eigenschaften der Netzwerkverbindung des Servers war unter tcpip4 der alte winsserver eingetragen.
Ich hatte das damals in der Umstellungsphase gemacht, weil die dns-auflösung der zwei Domänen nicht auf anhieb geklappt hatte, ich aber "mal schnell" einen Zugriff auf ein paar freigaben brauchte.... Wo man doch WINS eigentlich gar nicht so richtig braucht.....
Ich hatte das nicht überprüft, weil ich den fehler in einem Serverdienst gesucht hatte, an einen WINS-Client hatte ich gar nicht gedacht.
Danke an alle!
Ich hatte das damals in der Umstellungsphase gemacht, weil die dns-auflösung der zwei Domänen nicht auf anhieb geklappt hatte, ich aber "mal schnell" einen Zugriff auf ein paar freigaben brauchte.... Wo man doch WINS eigentlich gar nicht so richtig braucht.....
Ich hatte das nicht überprüft, weil ich den fehler in einem Serverdienst gesucht hatte, an einen WINS-Client hatte ich gar nicht gedacht.
Danke an alle!
so, arp -s ging nicht
Klappt hier sofort !! Du hast vermutlich wie so oft einen Syntax Fehler beim Kommando gemacht !Aber gut wenn du den pöhsen Puhmann nun entlarvt hast !!
Können wir alle beruhigt ins Wochenende
Wenns das denn nun war bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Nee, war kein Syntaxfehler. Es kam eine Meldung, Zugriff verweigert.
FAQ32 hatte ich nachdiskussion noch nicht umgesetzt.
FAQ32 hatte ich nachdiskussion noch nicht umgesetzt.
Na ja das ist dann ein Winblows Rechte Problem. Der static ARP Eintrag mit -s funktioniert fehlerlos !
