Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkprotokolle und Dienste

 
Wireshark:Broadcaset Who has

geschrieben am 23.01.2008 um 15:24 von lorry

Hallo Forum,

ich habe testweise in meinem Netzwerk WhireShark laufen lassen und finde sehr oft (alle 1 - 3 Minuten) den Eintrag

Code:
who has IP-VOM-ADS tell IP-VOM-NETZWERKDRUCKER

und das ganze über das Protokoll ARP. Ich kann vom ADS Server auf den Drucker pingen. Beim Drucker habe ich alles außer TCP/IP ausgeschalten (deaktiviert) und dennoch kommen diese Broadcast. Natürlich habe ich den Drucker (Kyocera) schon neugestartet. Aber ich komme da als - Newbee - da jetzt nicht weiter.

Cu
Lorry
 

geschrieben am 23.01.2008 um 20:28 von paceman

Da der Datenverkehr im lokalen Netzwerk über MAC-Adressen abgewickelt wird, versucht ein Netzwerkgerät immer die MAC-Adresse eines Zielgerätes über die IP aufzulösen. Dies beginnt mit einem "who has Ziel-IP tell Source-IP" durch einen ARP-Broadcast.

Einmal ermittelt, wird die jeweilige IP/MAC Zugehörigkeit für einen gewissen Zeitraum in einer ARP-Tabelle gespeichert. Erfolgt ein erneuter Request an die IP, entnimmt das Netzwergerät die MAC-Adresse aus der ARP-Tabelle oder erfragt sie nach o.a. Schema neu, wenn sie gemäß Zeitstempel nicht mehr gültig ist, respektive entfernt wird.

Also sind deine Aufzeichnungen erstmal nichts ungewöhnliches. Genaueres ließe sich aber auch nur durch weitere Details aus deinen Log-Daten ermitteln, auch wenn ich glaube, dass hier nichts schlimmeres vorliegt.

Regards
pace
 

geschrieben am 23.01.2008 um 20:34 von lorry

Hallo Paceman,

vielen Dank für Deine Antwort.

"paceman" wrote:
Da der Datenverkehr im lokalen Netzwerk über MAC-Adressen abgewickelt wird, versucht ein Netzwerkgerät immer die MAC-Adresse eines Zielgerätes über die IP aufzulösen. Dies beginnt mit einem "who has Ziel-IP tell Source-IP " durch einen ARP-Broadcast.


Okay, soweit war mir das klar.

Quote:
Einmal ermittelt, wird die jeweilige IP/MAC Zugehörigkeit für einen gewissen Zeitraum in einer ARP-Tabelle gespeichert.


Das müsste dann in der ARP Tabelle beim Drucker passieren?

Quote:
Erfolgt ein erneuter Request an die IP, entnimmt das Netzwergerät die MAC-Adresse aus der ARP-Tabelle oder erfragt sie nach o.a. Schema neu, wenn sie gemäß Zeitstempel nicht mehr gültig ist, respektive entfernt wird.


Aber die Abfrage passiert alle 1 - 3 Minuten. Und das finde ich etwas viel.

Cu
Lorry
 

geschrieben am 24.01.2008 um 08:03 von bewa

"lorry" wrote:

Quote:
Einmal ermittelt, wird die jeweilige IP/MAC Zugehörigkeit für einen gewissen Zeitraum in einer ARP-Tabelle gespeichert.


Das müsste dann in der ARP Tabelle beim Drucker passieren?


Richtig.

Quote:
Aber die Abfrage passiert alle 1 - 3 Minuten. Und das finde ich etwas viel.


Es ist häufiger als nötig - in der Netzlast fällt das aber gar nicht auf. Bekommt der Drucker denn eine Antwort auf seine Requests?
 

geschrieben am 24.01.2008 um 08:44 von lorry

Guten Morgen,

"bewa" wrote:
Bekommt der Drucker denn eine Antwort auf seine Requests?


Nein. Und der Drucker steht unter TELL öfters. Er fragt nach unserem ADS, unseremNagios Server, einigen Clients (die nicht auf den Drucker drucken).

VG
Lorry
 

geschrieben am 24.01.2008 um 15:01 von bewa

"lorry" wrote:

"bewa" wrote:
Bekommt der Drucker denn eine Antwort auf seine Requests?


Nein.


Dann wäre es zumindest logisch, wenn er mehrmals fragt, auch wenn dir das nicht weiter hilft. ;-) Diejenigen die nicht antworten sind vermutlich auch in einem anderen Subnetz? Dann wäre es logisch, das keiner antwortet, solange nicht irgendwo Proxy-Arp läuft. (Das macht in den meisten Fällen keinen Sinn, kommt aber häufiger vor.)

Quote:

Und der Drucker steht unter TELL öfters. Er fragt nach unserem ADS, unseremNagios Server, einigen Clients (die nicht auf den Drucker drucken).


Dann kann ja durchaus Gründe haben. Beispiele (spontane Überlegungen):

- Der Drucker ist irgendwo im ADS oder NAGIOS eingetragen/veröffentlicht. Sobald er eine IP-basierte Anfrage (und sei es ein Ping, oder was auch immer) erhält, muss er einen ARP-Broadcast durchführen, um antworten zu können.
- Ist der Drucker auf den Clients denn konfiguriert? Gibt es irgendwelche Kommunikation zwischen den Clients und deren Drucker? (Am besten mal über einen langen Zeitraum capturen und dann auf die IP filtern.)

Welche Dienste laufen denn noch auf dem Drucker? Nur TCP/IP, oder noch was anderes? Welche IP-basierten Dienste? (Viele Drucker z.B. von HP sind in der Standard-Config sehr "gesprächig"...)
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019