Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

Windows Event 8021

Der Event 8021 kann durch eine unglückliche Konfiguration von IP Helper-Adressen auf Cisco-Routern ausgelöst werden.

Das Kommando "ip helper-address 10.0.0.1" auf einem Interface eines Routers bewirkt, das bestimmte Broadcastframes aus diesem Segment an die angegebene IP-Adresse weitergeleitet werden.
Per default werden Broadcast mit den UDP-Zielports

  • Trivial File Transfer Protocol (TFTP) (port 69)
  • Domain Naming System (port 53)
  • Time service (port 37)
  • NetBIOS Name Server (port 137)
  • NetBIOS Datagram Server (port 138)
  • Boot Protocol (BOOTP) client and server datagrams (ports 67 and 68)
  • TACACS service (port 49)
  • IEN-116 Name Service (port 42)

weitergeleitet.
Oft möchte man allerdings nur die Funktion von DHCP sicherstellen. Das Weiterleiten von NetBIOS-Datagrammen an den DHCP-Server ist eher ein unerwünschter Nebeneffekt.

Besonders negativ wirkt sich die Weiterleitung von Domain/Workgroup Announcement (UDP Port 138) aus. In diesen Paketen steht der aktuelle Masterbrowser für ein Subnet.
Gelangt ein solches Paket nun zu einem Computer in einem anderen Subnet, nutzt dieser einen falschen Masterbrowser. Dieser kann sich dann z.B. hinter einer langsamen Wählverbindung befinden.
Ist der im Announcement genannte Masterbrowser für den Computer garnicht ansprechbar, weil z.B. die Namensauflösung nicht funktioniert, wird ein Event 8021 ins Log geschrieben:

Event id: 8021
Source: Browser
Description: The browser was unable to retrieve a list of servers from the
browser master on the network \device\. The data
is the error code.

Das fragliche Paket sieht dann so aus: 

User Datagram Protocol, Src Port: netbios-dgm (138), Dst Port: netbios-dgm
(138)
    Source port: netbios-dgm (138)
    Destination port: netbios-dgm (138)
    Length: 219
NetBIOS Datagram Service
    Message Type: Direct_group datagram (17)
    Source Port: 138
    Datagram length: 197 bytes
    Source name: MEINNAME11<00> (Workstation/Redirector)
    Destination name: <01><02>__MSBROWSE__<02><01> (Browser)
SMB (Server Message Block Protocol)
    SMB Header
        Server Component: SMB
        SMB Command: Trans (0x25)
        Transaction Name: \MAILSLOT\BROWSE
SMB MailSlot Protocol
    Opcode: Write Mail Slot (1)
    Priority: 1
    Class: Unreliable & Broadcast (2)
    Size: 60
    Mailslot Name: \MAILSLOT\BROWSE
Microsoft Windows Browser Protocol
    Command: Domain/Workgroup Announcement (0x0c)
    Update Count: 0
    Update Periodicity: 15 minutes
    Domain/Workgroup: MYDOOM
    OS Major Version: 3
    OS Minor Version: 10
    Master Browser Server Name: MEINNAME11

Auf den Router kann man mit dem Kommando "no ip forward-protocol udp" die Arbeitsweise der IP-Helper beeinflussen. Mit "no ip forward-protocol udp 138" werden keine NetBIOS-Datagramme mehr an den als Helper angegebenen Host gesendet.

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012