gelöst W2k3, statische ARP-Einträge wurden von selbst erstellt
unerwartete statische ARP-Cache-Einträge
Hallo!
Auf einem W2k3-SP2-Server tauchten innerhalb von 3 Wochen mindestens bereits 2 statische ARP-Einträge im ARP-Cache auf, die 100%ig nicht manuell am Server gesetzt wurden.
Sie beziehen sich auf IP-Adressen eines DHCP-Ranges , die für Client-PCs gedacht sind.
Es waren beide male verschiedene MAC-Adressen, die Geräte sind noch nicht identifiziert.
Gibt es einen "normalen" Weg für sowas, oder muß ich mit dem Gehacktwordensein des Servers rechnen?
Danke, Harald
Auf einem W2k3-SP2-Server tauchten innerhalb von 3 Wochen mindestens bereits 2 statische ARP-Einträge im ARP-Cache auf, die 100%ig nicht manuell am Server gesetzt wurden.
Sie beziehen sich auf IP-Adressen eines DHCP-Ranges , die für Client-PCs gedacht sind.
Es waren beide male verschiedene MAC-Adressen, die Geräte sind noch nicht identifiziert.
Gibt es einen "normalen" Weg für sowas, oder muß ich mit dem Gehacktwordensein des Servers rechnen?
Danke, Harald
5 Antworten
- LÖSUNG msr972 schreibt am 12.10.2011 um 08:41:12 Uhr
- LÖSUNG hm7user schreibt am 14.10.2011 um 05:26:33 Uhr
- LÖSUNG msr972 schreibt am 14.10.2011 um 08:28:51 Uhr
- LÖSUNG hm7user schreibt am 15.10.2011 um 02:33:30 Uhr
- LÖSUNG hm7user schreibt am 16.10.2011 um 14:19:43 Uhr
- LÖSUNG hm7user schreibt am 15.10.2011 um 02:33:30 Uhr
- LÖSUNG msr972 schreibt am 14.10.2011 um 08:28:51 Uhr
- LÖSUNG hm7user schreibt am 14.10.2011 um 05:26:33 Uhr
LÖSUNG 12.10.2011 um 08:41 Uhr
Guten Morgen,
wurde denn am W2k3 Server neue Hardware bzw. Hardware für das Netz installiert und am Server dafür Hardware?
Ich hatte mal RS485-Netzwerk Komponenten, die auch einen Treiber bzw. eine Softwareinstallation benötigten und die ARP Einträge wurden von der Software gesetzt. Sehr sinnvoll natürlich..
Bzw. mal Log von arp -a wäre nicht schlecht
wurde denn am W2k3 Server neue Hardware bzw. Hardware für das Netz installiert und am Server dafür Hardware?
Ich hatte mal RS485-Netzwerk Komponenten, die auch einen Treiber bzw. eine Softwareinstallation benötigten und die ARP Einträge wurden von der Software gesetzt. Sehr sinnvoll natürlich..
Bzw. mal Log von arp -a wäre nicht schlecht
LÖSUNG 14.10.2011 um 05:26 Uhr
Hallo msr972!
Danke für Deine Idee! Nein, keine Installationen in den letzten Wochen/Monanten, nicht mal Software (außer evtl. Updates).
Andere haben solche Effekte offenbar auch:
http://serverfault.com/questions/60033/bad-arp-cache-static-entries
http://forums.whirlpool.net.au/archive/797548
Hier läuft aber kein 3Com Boot Service (und auch kein RIS/WDS).
Allerdings lief mal testweise ein RIS mit BINL, keine Ahnung, vielleicht rennt da ja noch was versehentlich, seit Update zu WDS.
Ist ja fast wahrscheinlich, daß irgendwelche PXE-Server-Dienste sowas verursachen.
Ansonsten habe ich keine Idee, welche Server-Anwendungen noch aktiv statische ARP-Einträge erzeugen könnten. Vielleicht irgendwelche Konfigurations-Software für Netzwerkgeräte (so Drucker-Erstkonfig-Tools oder so).
Soweit erstmal, Harald
Danke für Deine Idee! Nein, keine Installationen in den letzten Wochen/Monanten, nicht mal Software (außer evtl. Updates).
Andere haben solche Effekte offenbar auch:
http://serverfault.com/questions/60033/bad-arp-cache-static-entries
http://forums.whirlpool.net.au/archive/797548
Hier läuft aber kein 3Com Boot Service (und auch kein RIS/WDS).
Allerdings lief mal testweise ein RIS mit BINL, keine Ahnung, vielleicht rennt da ja noch was versehentlich, seit Update zu WDS.
Ist ja fast wahrscheinlich, daß irgendwelche PXE-Server-Dienste sowas verursachen.
Ansonsten habe ich keine Idee, welche Server-Anwendungen noch aktiv statische ARP-Einträge erzeugen könnten. Vielleicht irgendwelche Konfigurations-Software für Netzwerkgeräte (so Drucker-Erstkonfig-Tools oder so).
Soweit erstmal, Harald
LÖSUNG 14.10.2011 um 08:28 Uhr
Also wenn die Adresseinträge im Bereich 224.0.0.0 bis 239.255.255.255 geht, sind die statischen Einträge vom Prinzip her ok.
Hier ein kleiner Erläuterungslink: http://www.tcpipguide.com/free/t_IPMulticastAddressing.htm
Ansonsten vielleicht mal bei RIPE nach der IP suchen oder über die MAC den Vendor finden.
Hier ein kleiner Erläuterungslink: http://www.tcpipguide.com/free/t_IPMulticastAddressing.htm
Ansonsten vielleicht mal bei RIPE nach der IP suchen oder über die MAC den Vendor finden.
LÖSUNG 15.10.2011 um 02:33 Uhr
Hallo msr972!
Nee, nee, sind ganz "normale" IPs aus dem privaten Bereich (192.168...), welche sonst auch per DHCP an die Client-PCs verteilt werden.
So ist's überhaupt aufgefallen: Client-PCs hatten per DHCP IPs bekommen, die am Server als statische ARP-Einträge auf andere MACs zeigten.
Die Hersteller zu den MACs hatte ich natürlich gleich rausgesucht, aber es ist bisher kein Gerät gefunden. Daher vermute ich Gäste-Notebooks oder Spoofing/Fälschung.
Allerdings habe ich noch von keiner Spoofing-Methode gelesen, die statische ARP-Einträge am Server einrichten kann.
Übrigens: Am Server 2003 finden sich auch keine Default-Einträge für Multicast-Adressen. Das ist wohl erst bei 2008 zu sehen.
Harald
Nee, nee, sind ganz "normale" IPs aus dem privaten Bereich (192.168...), welche sonst auch per DHCP an die Client-PCs verteilt werden.
So ist's überhaupt aufgefallen: Client-PCs hatten per DHCP IPs bekommen, die am Server als statische ARP-Einträge auf andere MACs zeigten.
Die Hersteller zu den MACs hatte ich natürlich gleich rausgesucht, aber es ist bisher kein Gerät gefunden. Daher vermute ich Gäste-Notebooks oder Spoofing/Fälschung.
Allerdings habe ich noch von keiner Spoofing-Methode gelesen, die statische ARP-Einträge am Server einrichten kann.
Übrigens: Am Server 2003 finden sich auch keine Default-Einträge für Multicast-Adressen. Das ist wohl erst bei 2008 zu sehen.
Harald
LÖSUNG 16.10.2011 um 14:19 Uhr
Die PCs sind inzwischen gefunden. Sind tatsächlich (neuere) Notebooks gewesen, die noch unbekannt waren.
Also ist ARP-Spoofing erstmal unwahrscheinlich, zumindest mit MAC-Fälschungen.
Momentan verursachte ihr Betrieb allerdings keine neuen statischen ARP-Einträge am Server.
Harald
Also ist ARP-Spoofing erstmal unwahrscheinlich, zumindest mit MAC-Fälschungen.
Momentan verursachte ihr Betrieb allerdings keine neuen statischen ARP-Einträge am Server.
Harald
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
