Jump to content

DHCP Traffic


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

mir ist folgendes bei uns im Netzwerk aufgefallen:

Alle NT/2000/XP Clients schicken beim booten DHCP requests ins Netz.

 

Jetzt haben wir allerdings auf allen Rechnern die IPs statisch vergeben. Also DHCP ist definitiv nirgends aktiviert.

Ansonsten sind auf den Clients die Protokolle Netware NetBios und Netware IPX/SPX installiert...

 

Ist das irgendwie ein bekanntes Problem?

Warum mach Windows sowas? just for fun?? :)

Link zu diesem Kommentar
Ich glaube das liegt an deinen Netzwerkkarten. Sie beherschen wohl PXE. Das heißt es ist möglich, das sie während des Bootens z.B. auf RIS zugreifen. Dafür brauchen sie eine IP-Adresse und die bekommen sie via DHCP.

 

FG

 

FLOST

 

Gute Idee

 

Aber eigentlich deaktivieren wir PXE. Zumindest bei den Intel Pro Karten, weil die wirklich bei jedem Start nach einer Netzwerkbootmöglichkeit suchen.

Ob die anderen Karten PXE können - denke ich nicht (sind billig Realtek-Teile)

 

Ich schau mir so eine Kiste nochmal genau an und beobachte zu welchem Zeitpunkt die DHCP anfragen gestellt werden

Link zu diesem Kommentar

ok, es sieht nicht nach einer PXE-Sache aus.

Die Pakete erscheinen in dem Moment wenn das Loginfenster vom Novell-Client erscheint.

 

 

Es sind immer 3 identische Pakete hintereinander:

 

12:04:07.944886 IP (tos 0x0, ttl 128, id 20, offset 0, flags [none], length: 576) 192.168.1.9.68 > 255.255.255.255.67: BOOTP/DHCP, Request [|bootp]          
0x0000:  ffff ffff ffff 0010 8378 aa9a 0800 4500  .........x....E.          
0x0010:  0240 0014 0000 8011 76e8 c0a8 0109 ffff  .@......v.......          
0x0020:  ffff 0044 0043 022c 151d 0101 0600 5272  ...D.C.,......Rr          
0x0030:  3358 0000 0000 c0a8 0109 0000 0000 0000  3X..............          
0x0040:  0000 0000                                ....  

 

noch ne idee?

Link zu diesem Kommentar
Hi,

 

ist das wirklich ein DHCP Request?

 

Der kommt nämlich erst nach einem Discover und einem Offer Paket.

 

Was ist das für ein Paket (Welches Sniffing Tool?).

 

Könnte nämlich auch das Update des DNS Servers sein. (Automatischer Eintrag der Adresse).

 

Ich bin mir nicht sicher ob es ein wirklicher DHCP request ist.

Läuft DNS nicht über Port 53?

 

Tools die ich nutze sind 'dhcping' und 'tcpdump'

 

ich bin mal so frei und poste vollständige Captures:

 

zuerst von tcpdump (Befehl war: tcpdump -s 0 -n -e -vvv -XX dst port 67)

 

15:13:49.044337 00:10:83:78:aa:9a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: IP (tos 0x0, ttl 128, id 23, offset 0, flags [none], length: 576) 192.168.1.9.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:10:83:78:aa:9a, length: 548, xid:0x8a4052d7, flags: [none] (0x0000)
         Client IP: 192.168.1.9
         Client Ethernet Address: 00:10:83:78:aa:9a
         Vendor-rfc1048:
           DHCP:INFORM
           PR:SLP-DA+SLP-SCOPE
           CID:[ether]00:10:83:78:aa:9a
       0x0000:  ffff ffff ffff 0010 8378 aa9a 0800 4500  .........x....E.
       0x0010:  0240 0017 0000 8011 76e5 c0a8 0109 ffff  .@......v.......
       0x0020:  ffff 0044 0043 022c bdcf 0101 0600 8a40  ...D.C.,.......@
       0x0030:  52d7 0000 0000 c0a8 0109 0000 0000 0000  R...............
       0x0040:  0000 0000 0000 0010 8378 aa9a 0000 0000  .........x......
       0x0050:  0000 0000 0000 0000 0000 0000 0000 0000  ................

(dazwischen nur Nullen)

       0x0100:  0000 0000 0000 0000 0000 0000 0000 0000  ................
       0x0110:  0000 0000 0000 6382 5363 3501 0837 024e  ......c.Sc5..7.N
       0x0120:  4f00 3d07 0100 1083 78aa 9aff 0000 0000  O.=.....x.......
       0x0130:  0000 0000 0000 0000 0000 0000 0000 0000  ................

(dazwischen nur Nullen)

       0x0240:  0000 0000 0000 0000 0000 0000 0000       ..............

 

Dass wirft dhcpng aus (dhcping -listen)

 

>> DHCP  request
>> from 192.168.1.9:68 (00:10:83:78:aa:9a) to 255.255.255.255:67 (ff:ff:ff:ff:ff:ff)

>> op     : BOOT REQUEST (1)
>> htype  : Ethernet (10Mb) (1)
>> hlen   : 6
>> hops   : 0
>> xid    : 0x8a4052d7
>> secs   : 0
>> flags  : UNICAST (0x0000)
>> ciaddr : 192.168.1.9
>> yiaddr : 0.0.0.0
>> siaddr : 0.0.0.0
>> giaddr : 0.0.0.0
>> chaddr : 00:10:83:78:aa:9a
>> sname  :
>> file   :
>> cookie : 0x63825363 (RFC 1497/2132, BOOTP Vendor informations/DHCP options)
>> DHCP  option  (053 [0x35]) : MESSAGE_TYPE : INFORM
>> DHCP  option  (055 [0x37]) : PARAMETERS : Unknown (78 [0x4e])  Unknown (79 [0x4f])
>> DHCP  option  (061 [0x3d]) : CLIENT_ID : 0x0100108378aa9a

Also es ist dann wohl doch kein "request" sondern ein "inform"

Schlauer bin ich jetzt trotzdem nicht. Sinn und Ursache interessieren mich schon

Link zu diesem Kommentar

Also:

 

Bei WIn2k und XP ist die Option: Adressen dieser Verbindung standardmässig in DNS registrieren. Das erledigt der DHCP Client mit einer inform Nachricht!

 

Wenn du an einem der Clients testweise den DHCP-Client Dienst deaktivierst, solltest du von ihm auch keine Pakete mehr sehen.

 

Bist du sicher, dass das auch für die NT4 Clients zutrifft? Die können das nämlich nicht.

Link zu diesem Kommentar

danke weg5st0!

 

dass ist auf jeden Fall eine Antwort mit der ich etwas anfangen kann.

 

Ich hab ein simples Script geschrieben, dass die IPs sammelt die den DHCP Traffic erzeugen. DA war auf jeden Fall eine NT-Ksite dabei. Ob das jetzt die gleiche Ursache hat wie die 2k/xp Kisten kann ich jetzt nicht nachprüfen. Die steht weit weg und hat keine Fernwartungsmöglichkeiten ;)

 

Hast du grad ein Link parat wo ich was über diese DNS-über-DHCP geschichte nachlesen kann?

Ok, ich weiss relativ wenig über DNS, aber dass gerade ein DHCP Packet genutzt wird für die registrierung... kommt mir komisch vor.

Ich werd mal schauen was unsere DNS Server dazu sagen oder ob die Clients überhaupt eine Antwort bekommen

Link zu diesem Kommentar
Hallo NightTw_ix,

 

dein Netware Client holt sich Informationen über einen Directory Agent + Scope über DHCP.

PR:SLP-DA+SLP-SCOPE

 

Du kannst den DA + Scope fest im Client vorgeben und "Use DHCP for SLP" deaktivieren.

 

thorgood

 

ahhhhhh.

Dass hört sich wirklich nachvollziehbar an. Und ich war schon drauf und dran Microsoft niederzumachen. ;)

Scheint auf jeden Fall völlig legitim die Geschichte.

Ich seh das jetzt mal als gelöst und meine Freitags-Langeweile als bekämpft an! :D

 

Dank an alle und schönes Wochenende :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...