Broadcast-Analyse - in Nuernberg spamt 10.50.42.194

Michael Fritscher michael at fritscher.net
Fr Sep 25 22:01:48 CEST 2015 

Hi,

ah, sehr schön! Kleine Frage: wie macht man dies? ich vermute du hast ein
batctl traceroute <mac> gemacht und dann die mac der zwischenstation in
netmon gesucht? Wie macht man letzteres am besten? Ich habe da nichts
gefunden...

Naja, notfalls könnte man den Router per keyxchange in die default-hood
verfrachten, oder? Da kann er wenigstens nicht so viel anstellen. Über
keyxchange sollte man den Router komplett von der Verbindungsaufnahme zu
ner Hood abhalten können denke ich mal.

Viele Grüße,
Michael

> Hallo zusammen,
>
> ich hab gerade mal geschaut, wo der Client dran hängt.
> Er hängt in Rückersdorf an der Hauptstraße und ist laut Netmon zzt.
> auch
> der einzige Client.
> https://netmon.freifunk-franken.de/router.php?router_id=804
> Der Router gehört "mgadmin" hat jemand ne Ahnung wer das ist? Ihm
> gehören ja auch unter anderem die im FabLab, von daher würde ich fast
> auf Tim bzw. die Community tippen.
> Gut wäre es, wenn man den Client ausfindig und abschalten könnte, falls
> nicht möglich eventuell sogar den kompletten Router?
>
> Viele Grüße
> Jan
>
> Am Freitag, den 25.09.2015, 21:20 +0200 schrieb mayosemmel:
>> Hallo Michael,
>>
>> den Bereich bediene ich im meinem DHCP. Ist nicht unbelegt.
>> Ich habe mir den Traffic in Nbg auch mal angeschaut. (siehe anderen
>> Topic)
>>
>> Grüße Jan
>>
>> Am Freitag, den 25.09.2015, 21:10 +0200 schrieb Michael Fritscher:
>> > Hi,
>> >
>> > ich habe mir mal die Broadcasts von den Hoods Würzburg und Nürnberg
>> > angeschaut - also was ein Client so abbekommt. Ich habe den Testclient
>> > über eine Brücke ans bat-Interface gehängt.
>> >
>> > Bei beiden Hoods sinds hauptsächlich ARP-Anfragen. Während es bei
>> der
>> > Würzburger Hood allerdings noch normal ausschaut (da fragen
>> überwiegend
>> > die Gateways 10.40.72.2...6 ab) ist es in Nürnberg "komisch": Neben
>> > Gateways fragt durchgehend 10.50.42.194 quasi das komplette
>> 10.50.42.0/24
>> > Subnetz ab - mit jweils ca. 30 Sek Pause zwischendrinne. Das sieht
>> fast
>> > nach einem endlosen nmap -sP 10.50.42.0/24 aus. Laut
>> > https://wiki.freifunk-franken.de/w/Portal:Netz ist dieser Bereich
>> > unbelegt?! Laut MAC ist es eine Intel-Netzwerkkarte, was auf ein
>> Notebook
>> > oder stationären Rechner schließen lässt. Läuft da irgendwas Amok,
>> ist das
>> > ein vergessener Testserver, oder was ganz anderes? Jedenfalls
>> produziert
>> > diese MAC 10x mehr Traffic als die nächste, und insgesamt 2/3 des
>> > Gesamtbroadcasttraffics...
>> >
>> > Viele Grüße,
>> > Michael
>> >
>>
>>
>
>
>

Mehr Informationen über die Mailingliste franken-dev