ein Kunde von uns möchte unbedingt zwei NICs haben, die beide jeweils eine öffentliche IP haben und beide am öffentlichen Netz angeschlossen sein sollen.
Problem, in der Standardkonfiguration ist es nun so, dass eingehende Datenpakete auf die erste IP, wo auch das Standardgateway konfiguriert ist, normal zurückgehen. Aber wenn Pakete auf die zweite IP kommen, dann schickt sie das System trotzdem über die erste NIC wieder raus, weil da der Standardgateway für den Bereich konfiguriert ist.
Aus irgendeinem Grund werden die aber als Broadcast rausgehauen...wodurch wir lustige 50-80MBit sinnlosen Traffic im Netz haben.
Man müsste nun Windows (sämtliche 2003er Versionen) sagen, dass eingehende Pakete über die zweite NIC auch wieder über diese zurückgesendet werden.
Wie könnte man das realisieren?
Da sämtliche IPs von der Welt auf beide IPs senden können, kann man nicht einfach normale Routen definieren.
Und der Sinn ist einfach...der Kunde möchte mehr Bandbreite haben, ohne gleich ein GBit Interface nehmen zu müssen...
Das ist normales Verhalten der Routenermittlung, dass über das Default Gateway (wahrscheinlich die einzig mögliche Route) gesendet wird.
Die Pakete werden als Broadcast rausgehauen ? Die werden einfach nur zurück zum Default Gateway geschickt und als Broadcast würden sie da kleben bleiben.
Naja, wie auch immer, mir ist kein Weg bekannt, so etwas zu lösen ...
Ich weiß nur, dass von den Servern ultra viel Broadcasts unser Netz belasten. Warum die genau entstehen, weiß ich leider auch nicht, es liegt aber an der 2. NIC, weil die gleichen Server wo nur eine NIC aktiv ist, aber die gleichen Anwendungen laufen, produzieren kaum Broadcasts.
Problem ist halt, dass es unser Netz ganz schön belastet und da wir derzeit nur zwei mickrige 10GBit Leitungen zu internen Vernetzung haben, wird die dadurch auch nicht gerade schneller, da sie so schon gut ausgelastet ist.
muss am Montag nochmal genauer schauen, was die Server da genau für Traffic erzeugen, zumindest meinte mein Kollege, dass er unter Linux Source Routing aktiviert, um den Broadcast Traffic der Maschinen gering zu halten.
Hast Du schon mal gesnifft, was der versucht zu erreichen ? Source Routing gibt es bei Windows auch, ich bezweifel allerdings, dass es den von Dir gewünschten Zweck erfüllt (weiss den Regkey im Moment nicht, schaue nachher nochmal nach) ...
pro Sekunde huschen da 6 Mio Pakete durch das Netz....da geht die Übersicht etwas verloren, mit Packetyzer kann man es zumindest vergessen, da verreckt mir vorher der Rechner, eh ich die Pakete von den betreffenden Servern gefunden habe.
–
ok, war doch einfacher als gedacht, den zu finden, weil diese Server den großteil vom Broadcast ausmachen, die Liste in Packetyzer ist voll von denen...sind haufenweise TCP Handshakes (ACK, TCP Window Updates, TCP Dup ACK.
Portnummer 39190 auf 5550 meistens
scheint mir einer der lustigen Filesharing Server zu sein. Ziel und Quell MAC sind auch definiert. Dennoch empfang ich die als Broadcast (sonst würde ich sie ja nicht aufzeichnen können)...
Geändert von Poison Nuke (29.11.2008 um 12:09 Uhr).
Grund: –––– Doppelpost – Automerge –––
Nochmal zum Thema Source Routing: Eigentlich macht das der Sender und nicht der Empfänger. Weiterhin ist das sicherheitstechnisch nicht gerade ohne ... Source Address Spoofing
Und hier der Key ... Microsoft Corporation
nein...meinte schon die MACs...ein Broadcast wird ja an keine bestimmte MAC gesendet. Nur wundert mich, warum Packetyzer die Pakete empfangen hat.
besten dank für den Link.
Aber wenn ich das so richtig sehe, dann ist Source Routing eh aktiviert? Weil der Key existiert in Windows nicht und wenn er schon extra "Disable..." heißt, nehm ich an, dass es normalerweise eh aktiv ist.
Und noch eine Frage:
wenn ich bei der zweiten NIC einen weiteren Standardgateway eintrage und ich die Fehlermeldung wegklicke...was macht Windows dann? Werden dann beide NICs verwendet zum Senden verwendet?
Zum Source Spoofing:
inwiefern wird es dadurch unterstützt? Wenn die Absenderadresse erfolgreich gesetzt wurde, dann ist doch egal, ob es aktiviert ist oder nicht? Weil im IP Paket wird doch nicht die gesamte Route gespeichert.
Mit 2 Standardgateways wirst Du nicht weiter kommen, da nur eins benutzt wird. Das zweite würde erst dann zum Tragen kommen, wenn das erste ausfällt und auch nur unter bestimmten Umständen. Welches das erste ist, hängt von der (automatischen) Metrik und der Bindungsreihenfolge ab. Die Route wird also über das "höchste" Default Gateway errechnet ...
Zitat aus dem oben genannten Artikel:
"If the attacker simply spoofs one of the permitted source addresses, the attacker may never get a response. However, if the attacker both spoofs an address and sets the loose-source-routing option to force the response to return to the attacker's network, the attack can succeed."
Welcher Art sind denn die Broadcasts, sind das z.B. ARPs oder Namensauflösungs-Broadcasts ?
aber der Standardwert in Windows ist dann trotzdem Disable, wenn der Key nicht existiert? Ist schon etwas verwirrend. Ist ja halt normalerweise so, wenn man einen Key erst erzeugen muss, dann hat er normalerweise auch die Eigenschaft, wie im Namen steht...in dem Fall also Disable.
Welche Option würde es geben, um einfach die doppelte Bandbreite zu bekommen, ohne die ganzen Probleme? Unsere Switche können zwar Trunking, aber Windows wird das wohl nicht hinbekommen mit zwei verschiedenen Netzwerkkarten, oder? Zudem unsere Mangamentsoftware nicht für Trunking ausgelegt wurd, wir müssten also jeden Switch einzeln konfigurieren...bleibt wohl nur höhere Kosten für den Kunden, oder keine zweite NIC...oder was meint ihr?
Mit verschiedenen Karten wird das wahrscheinlich nichts und es sprechen ja offensichtlich auch noch andere Dinge dagegen. Ich denke, dass die beste Option einfach eine schnellere Netzwerkkarte ist, die ja so teuer nun wirklich nicht mehr sind ...
Die werden einfach nur zurück zum Default Gateway geschickt und als Broadcast würden sie da kleben bleiben.
