Broadcasts privater IPs anderer Server am eigenen eth0 Interface

Jan-Benedict Glaw jbglaw at lug-owl.de
Wed Nov 5 11:50:09 CET 2008 

On Tue, 2008-11-04 20:24:53 +0100, Marcus Sobchak <lists at localguru.de> wrote:
> habe eine ggf. leicht OT-Frage an die Liste: an meinem Server rauschen
> seit einigen Tagen mächtig viele UDP Pakete von privaten
> Subnetzen vorbei, vornehmlich von 192.168.2.250:137 nach
> 192.168.15.255:137, an meinem eth0 Interface. Ein solches privates Netz
> ist nicht auf meinem Server eth0 aufgesetzt. Der Betreiber des RZ
> antwortet nun auf meine Frage, ob man das nicht abstellen könne:

Remote announcements.

> "Ein Kunde der zufällig am selben Switch wie Sie hängt, hat die lokale
> IP Adresse 192.168.2.250 zusätzlich auf seiner Netzwerkkarte
> konfiguriert, und jetzt eine Windows Freigabe eingerichtet, diese
> versucht sich nun via Broadcast an einem WINS Server anzumelden
> vermutlich Antwortet kein WINS Server daher die vermehrten Anfragen.

WINS ist unicast, kein broadcast.

> Sie haben IPTraf laufen,die alle Pakete die an der Netzwerkkarte
> ankommen, mitloggt, Sie bekommen also auch die Pakete mit, die sonst von
> Ihrem Server verworfen werden würden."

Das hängt davon ab, ob Deine Kiste sich für192.168.15.255 zuständig
fühlt.

> Aber selbst wenn ich mein eth0 mittels iptraf in den promiscuous Mode
> versetze, sollte doch nicht Traffic anderer Server bei mir
> vorbeirauschen. Gut, dann ist in dem RZ wohl kein Vlan für die Ports
> aufgesetzt. 

Jein. Es ist broadcast traffic, der geht auch an die
L2-Broadcast-Adresse. Erstmal wird das Paket dann von der Karte
empfangen und in den IP-Stack geworfen. Der hat dann die Aufgabe,
anhand der IP-Adressen zu entscheide, ob das Paket interessant ist.
Wenn dem so ist, wird der Inhalt an möglicherweise lauschende
Applikationen weitergereicht.

> Nun frage ich mich, ob diese Pakete auch an meinem Port angekommen, wenn
> das eth0 interface nicht im promiscuous Mode läuft und der Traffic
> dieser UDP Anfragen dann an meinem Switch Port accountet werden. Das
> fände ich unschön, da ich mit meinen Kontingent schon knapp am Limit
> bin.

Wenn das L2 broadcast traffic ist, kommt der traffic bei Dir an. Ob
der accounted wird, hängt von der Methode ab. Wenn das accounting auf
L2 aufsetzt, ist auch broadcast traffic für Dich incoming traffic und
fließt mit in die Rechnung ein. Wenn das accounting auf L3, also
IP-Adressen, aufsetzt, hängt das vermutlich davon ab, ob Du mit Deiner
IP im Ziel-Netz des Broadcasts bist.

Unterm Strich kannst Du aber nicht viel dagegen machen, wenn Dir
jemand ungewünschten traffic zukommen läßt.

MfG, JBG

-- 
      Jan-Benedict Glaw      jbglaw at lug-owl.de              +49-172-7608481
 Signature of:                            If it doesn't work, force it.
 the second  :                   If it breaks, it needed replacing anyway.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20081105/ef8a9a22/attachment.sig>

More information about the Linux mailing list