Wireshark - 2 Millionen Anfragen innerhalb weniger Minuten
Hallo zusammen,
ich habe folgende Anfragen von unserem Domain Controller mitgeschnitten, werde aber nicht wirklich schlau draus. Es sind knapp 2 Millionen Anfragen innerhalb von 5 min gewesen. Vielleicht interpretiere ich das ganze auch Falsch. Aber das kommt mir irgendwie spanisch vor.
Gruß
Tjelvar
ich habe folgende Anfragen von unserem Domain Controller mitgeschnitten, werde aber nicht wirklich schlau draus. Es sind knapp 2 Millionen Anfragen innerhalb von 5 min gewesen. Vielleicht interpretiere ich das ganze auch Falsch. Aber das kommt mir irgendwie spanisch vor.
Gruß
Tjelvar
Frame 232023: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Interface id: 0 (\Device\NPF_{636E9FC9-DBF1-4840-B302-E69B5716F58C})
Encapsulation type: Ethernet (1)
Arrival Time: Jun 21, 2016 15:51:09.388115000 Mitteleurop�ische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1466517069.388115000 seconds
[Time delta from previous captured frame: 0.000185000 seconds]
[Time delta from previous displayed frame: 0.000185000 seconds]
[Time since reference or first frame: 33.484433000 seconds]
Frame Number: 232023
Frame Length: 60 bytes (480 bits)
Capture Length: 60 bytes (480 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:ip:udp:data]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: AvmGmbh_20:cf:8b (9c:c7:a6:20:cf:8b), Dst: IPv4mcast_01:18 (01:00:5e:00:01:18)
Destination: IPv4mcast_01:18 (01:00:5e:00:01:18)
Address: IPv4mcast_01:18 (01:00:5e:00:01:18)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: AvmGmbh_20:cf:8b (9c:c7:a6:20:cf:8b)
Address: AvmGmbh_20:cf:8b (9c:c7:a6:20:cf:8b)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: IPv4 (0x0800)
Padding: 0000
Internet Protocol Version 4, Src: 192.168.204.250, Dst: 224.0.1.24
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00.. = Differentiated Services Codepoint: Default (0)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 44
Identification: 0x4ef7 (20215)
Flags: 0x00
Fragment offset: 0
Time to live: 2
Protocol: UDP (17)
Header checksum: 0xfb0e [validation disabled]
[Good: False]
[Bad: False]
Source: 192.168.204.250
Destination: 224.0.1.24
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 42 (42), Dst Port: 42 (42)
Source Port: 42
Destination Port: 42
Length: 24
Checksum: 0x355f [validation disabled]
[Stream index: 0]
Data (16 bytes)
Data: cdab000000000000c0a8ccfa00000000
[Length: 16]
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307779
Url: https://administrator.de/forum/wireshark-2-millionen-anfragen-innerhalb-weniger-minuten-307779.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
das ist eine Multicast Anfrage von der IP 192.168.204.250.
Welches Device hat denn diese IP im Netz?
Sieht aus, dass die Anfrage von einem AVM Device kommt. Fritzbox mit IpTV oder sowas vielleicht?
Gruß
das ist eine Multicast Anfrage von der IP 192.168.204.250.
Welches Device hat denn diese IP im Netz?
Ethernet II, Src: AvmGmbh_20:cf:8b (9c:c7:a6:20:cf:8b), Dst: IPv4mcast_01:18 (01:00:5e:00:01:18)
Gruß
Hallo,
das ist eine für Microsoft reservierte Broascast Adresse
Bei 2 Millionen Anfragen in wenigen Minuten solltest du die Kiste aber vom Netz nehmen....
brammer
44. Source: 192.168.204.250
45. Destination: 224.0.1.24
46. [Source GeoIP: Unknown]
47. [Destination GeoIP: Unknown]
48. User Datagram Protocol, Src Port: 42 (42), Dst Port: 42 (42)
49. Source Port: 42
50. Destination Port: 42
224.0.1.24
das ist eine für Microsoft reservierte Broascast Adresse
Bei 2 Millionen Anfragen in wenigen Minuten solltest du die Kiste aber vom Netz nehmen....
brammer
224.0.1.24 microsoft-ds
Quelle: https://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Holla die Waldfee.... 6666 Anfragen pro Sekunde...nicht übel !
Wie da eine Multicast Adresse hinkommt (224.0.1.24 ) ist schon spannend ! Aber normal = WINS Dienst
Das sollte man mal den Absender fragen (192.168.204.250) der das Netz mit dieser Multicast Adresse befeuert !
Vermutlich hast du noch zusätzlich einen Konfig Fehler im Switch und kein IGMP Snooping aktiviert. Ohne das flutet der Switch alle Ports mit diesem Multicast Traffic...also wohl nicht nur euren DNS Server sondern alle.
Da streamt sicher einer die EM von seinem USB Stick per VLC ins gesamte Netzwerk...
Aber Spaß beiseite wohl eher weniger, denn der Absender sendet UDP 42 Frames was ja wenigstens was wie Nameserver ist:
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports
Und von Winblows für den WINS Dienst verwendte wird.
Aber mit der Datenrate ist schon mehr als verdächtig.
@michi1983
Im Internet findet man das dazu:
http://christoph-probst.com/dos-nach-windowsupdate/
und
http://www.jlaforums.com/viewtopic.php?p=19539522
https://msdn.microsoft.com/en-us/library/dd358393.aspx
Also wohl normal für WINS aber nicht mit dieser Datenrate natürlich ! Das ist wohl ein MS Update Bug ?!
Wie da eine Multicast Adresse hinkommt (224.0.1.24 ) ist schon spannend ! Aber normal = WINS Dienst
Das sollte man mal den Absender fragen (192.168.204.250) der das Netz mit dieser Multicast Adresse befeuert !
Vermutlich hast du noch zusätzlich einen Konfig Fehler im Switch und kein IGMP Snooping aktiviert. Ohne das flutet der Switch alle Ports mit diesem Multicast Traffic...also wohl nicht nur euren DNS Server sondern alle.
Da streamt sicher einer die EM von seinem USB Stick per VLC ins gesamte Netzwerk...
Aber Spaß beiseite wohl eher weniger, denn der Absender sendet UDP 42 Frames was ja wenigstens was wie Nameserver ist:
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports
Und von Winblows für den WINS Dienst verwendte wird.
Aber mit der Datenrate ist schon mehr als verdächtig.
@michi1983
das ist eine Multicast Anfrage
Multicast "fragt" niemals was an ! Multicast sendet an alle, bzw. alle die es hören wollen.Im Internet findet man das dazu:
http://christoph-probst.com/dos-nach-windowsupdate/
und
http://www.jlaforums.com/viewtopic.php?p=19539522
https://msdn.microsoft.com/en-us/library/dd358393.aspx
Also wohl normal für WINS aber nicht mit dieser Datenrate natürlich ! Das ist wohl ein MS Update Bug ?!
Zitat von @aqui:
@michi1983
Du hast natürlich recht @michi1983
das ist eine Multicast Anfrage
Multicast "fragt" niemals was an ! Multicast sendet an alle, bzw. alle die es hören wollen.Ich habe es wohl falsch "definiert".
Habs mir als Frage ins Netzwerk vorgestellt, wer aller teilnehmen möchte.
Gruß