AW: Broadcast-Analyse - in Nuernberg spamt 10.50.42.194

Michael Fritscher michael at fritscher.net
Fr Sep 25 23:46:41 CEST 2015 

Wireshark schneidet bei mir ziemlich viel Multicast Listener Reports mit -
Solicitations habe ich nur ganz vereinzelte (und ja, die sind gut ;-) )

Weitere Infos zu den Multicast-Dingern gibts z.B. unter
http://packetpushers.net/good-nics-bad-things-blast-ipv6-multicast-listener-discovery-queries/
oder
https://social.technet.microsoft.com/Forums/windows/en-US/945125a7-035f-4f33-a9d2-c274717d7706/icmpv6-multicast-listener-report-messages-are-flooding-the-local-network?forum=w7itpronetworking

Interessanterweise sind da anscheinend oftmals kaputte Intel-Treiber
schuld dran...

Viele Grüße,
Michael

> Das würde ich lieber lassen. IPv6 geraffel wie du es nennst, ermöglicht
> es die Roiter zu warten. Zumindest hab ich außer solications nichts
> gesehen. Und die sind quasi das Arp von IPv6
>
> ----- Ursprüngliche Nachricht -----
> Von: "Michael Fritscher" <michael at fritscher.net>
> Gesendet: ‎25.‎09.‎2015 23:33
> An: "tk+ff at meskal.net" <tk+ff at meskal.net>; "franken-dev at freifunk.net"
> <franken-dev at freifunk.net>
> Cc: "mayosemmel" <mayosemmel at googlemail.com>
> Betreff: Re: Broadcast-Analyse - in Nuernberg spamt 10.50.42.194
>
> Hi,
>
> anscheinend haben wir die IP vertrieben :-D Jedenfalls sehe ich ihn
> nichtmehr. Derzeit ist der Hauptbroadcastlast IPv6 Multicastgeraffel - da
> wir eh kein IPv6 könnten wir das problemos filtern, oder?
>
> Viele Grüße,
> Michael
>
>> Hallo,
>>
>> coole Entdeckung!
>>
>> Die Zuordnung mac->Router kann man auch über die Rest API des netmons
>> machen.
>> https://netmon.freifunk-franken.de/api/rest/router/MACADDRESSE gibt die
>> Metadaten des Routers mit MACADDRESSE zurück. Die mac muss ohne
>> Trennzeichen geschrieben werden.
>>
>> Die Kontaktdaten von mgadmin sollten auch im netmon hinterlegt sein. Ich
>> bin gerade mobil unterwegs und kann mich nicht einloggen. Kann einer von
>> euch sich einloggen und die hinterlegten Kontaktdaten nutzen um ihn an
>> zuschreiben?
>> Das wäre nett.
>>
>> Viele Grüße
>> Tobias
>>
>> Am 25. September 2015 22:06:24 MESZ, schrieb mayosemmel
>> <mayosemmel at googlemail.com>:
>>>Hi,
>>>
>>>ich habe ein batctl tr <mac> gemacht. Anschließend habe ich auf
>>> meinem
>>>GW unter /etc/fastd/fff.nuernberg/peers nach der Datei mit Namen <mac>
>>>gesucht. In der steht neben der Mac und dem Key auch der Name. Dann hab
>>>ich im netmon nach dem Namen gesucht.
>>>
>>>Grüße
>>>Jan
>>>
>>>Am Freitag, den 25.09.2015, 22:01 +0200 schrieb Michael Fritscher:
>>>> Hi,
>>>>
>>>> ah, sehr schön! Kleine Frage: wie macht man dies? ich vermute du
>>>> hast
>>>ein
>>>> batctl traceroute <mac> gemacht und dann die mac der zwischenstation
>>>in
>>>> netmon gesucht? Wie macht man letzteres am besten? Ich habe da nichts
>>>> gefunden...
>>>>
>>>> Naja, notfalls könnte man den Router per keyxchange in die
>>>default-hood
>>>> verfrachten, oder? Da kann er wenigstens nicht so viel anstellen.
>>>Über
>>>> keyxchange sollte man den Router komplett von der Verbindungsaufnahme
>>>zu
>>>> ner Hood abhalten können denke ich mal.
>>>>
>>>> Viele Grüße,
>>>> Michael
>>>>
>>>> > Hallo zusammen,
>>>> >
>>>> > ich hab gerade mal geschaut, wo der Client dran hängt.
>>>> > Er hängt in Rückersdorf an der Hauptstraße und
>>>> ist laut
>>>> Netmon
>>>zzt.
>>>> > auch
>>>> > der einzige Client.
>>>> > https://netmon.freifunk-franken.de/router.php?router_id=804
>>>> > Der Router gehört "mgadmin" hat jemand ne Ahnung wer das ist?
>>>> Ihm
>>>> > gehören ja auch unter anderem die im FabLab, von daher
>>>> würde
>>>> ich
>>>fast
>>>> > auf Tim bzw. die Community tippen.
>>>> > Gut wäre es, wenn man den Client ausfindig und abschalten
>>>> könnte,
>>>falls
>>>> > nicht möglich eventuell sogar den kompletten Router?
>>>> >
>>>> > Viele Grüße
>>>> > Jan
>>>> >
>>>> > Am Freitag, den 25.09.2015, 21:20 +0200 schrieb mayosemmel:
>>>> >> Hallo Michael,
>>>> >>
>>>> >> den Bereich bediene ich im meinem DHCP. Ist nicht unbelegt.
>>>> >> Ich habe mir den Traffic in Nbg auch mal angeschaut. (siehe
>>>anderen
>>>> >> Topic)
>>>> >>
>>>> >> Grüße Jan
>>>> >>
>>>> >> Am Freitag, den 25.09.2015, 21:10 +0200 schrieb Michael Fritscher:
>>>> >> > Hi,
>>>> >> >
>>>> >> > ich habe mir mal die Broadcasts von den Hoods Würzburg und
>>>Nürnberg
>>>> >> > angeschaut - also was ein Client so abbekommt. Ich habe den
>>>Testclient
>>>> >> > über eine Brücke ans bat-Interface gehängt.
>>>> >> >
>>>> >> > Bei beiden Hoods sinds hauptsächlich ARP-Anfragen.
>>>> Während
>>>> es
>>>bei
>>>> >> der
>>>> >> > Würzburger Hood allerdings noch normal ausschaut (da
>>>> fragen
>>>> >> überwiegend
>>>> >> > die Gateways 10.40.72.2...6 ab) ist es in Nürnberg
>>>> "komisch":
>>>Neben
>>>> >> > Gateways fragt durchgehend 10.50.42.194 quasi das komplette
>>>> >> 10.50.42.0/24
>>>> >> > Subnetz ab - mit jweils ca. 30 Sek Pause zwischendrinne. Das
>>>sieht
>>>> >> fast
>>>> >> > nach einem endlosen nmap -sP 10.50.42.0/24 aus. Laut
>>>> >> > https://wiki.freifunk-franken.de/w/Portal:Netz ist dieser
>>>Bereich
>>>> >> > unbelegt?! Laut MAC ist es eine Intel-Netzwerkkarte, was auf ein
>>>> >> Notebook
>>>> >> > oder stationären Rechner schließen lässt.
>>>> Läuft da
>>>> irgendwas
>>>Amok,
>>>> >> ist das
>>>> >> > ein vergessener Testserver, oder was ganz anderes? Jedenfalls
>>>> >> produziert
>>>> >> > diese MAC 10x mehr Traffic als die nächste, und insgesamt
>>>> 2/3
>>>des
>>>> >> > Gesamtbroadcasttraffics...
>>>> >> >
>>>> >> > Viele Grüße,
>>>> >> > Michael
>>>> >> >
>>>> >>
>>>> >>
>>>> >
>>>> >
>>>> >
>>>>
>>>>
>>>
>>>
>>>--
>>>franken-dev mailing list
>>>franken-dev at freifunk.net
>>>http://lists.freifunk.net/mailman/listinfo/franken-dev-freifunk.net
>
>
>

Mehr Informationen über die Mailingliste franken-dev