Kommentare 0

Wenn der Server falsche Gratuitous ARP Pakete verschickt

Kaum überwacht man seine Server mit einem Monitoring Tool, wie in unserem Fall Nagios, fällt einem auf dass ein Server permanent einen Paketverlust von ~80% hat, wenn man ihn Pingt.

Seltsamer weise ist dies nur unter Linux zu erkennen. Ein Ping von Windows, liefert 0% Verlust. Was hat es damit auf sich? Nach einigem mitschneiden des Netzwerkverkehrs auf dem Server, erkannte ich eine Reihe von GARP Paketen. Da diese Pakete als Broadcast gesendet werden, werden sie von alle Netzwerkgeräten im Netzwerk ausgewertet.

Gratuitous ARP (engl. „unaufgefordertes ARP“) bezeichnet eine spezielle Verwendung von ARP. Dabei sendet ein Host ein ARP-Anforderungs-Broadcast, bei dem er seine eigene IP-Adresse als Quell- und Ziel-IP-Adresse einträgt. Damit teilt er seine ggf. neue MAC-Adresse unaufgefordert mit.

Wikipedia: ARP

Die Pakete enthielten eine IP und eine MAC die nicht zusammen gehörten. Anders gesagt, der Server gab sich als ein anderer aus. Ähnlich dem ARP Spoofing

Also habe ich den Server dessen IP im Paket stand kurzer Hand vom Netzwerk getrennt. Denn laut Wikipedia steht in dem Paket die IP-Adresse des Servers der das Paket sendet.

Zu meinem erstaunen waren weiterhin die Pakete im Netzwerk sichtbar. Also mussten sie von einem anderen Server stammen. In frage kam nun erstmal nur der Server dessen MAC-Adresse im Paket stand. Ein Active Directory Domänen Controller. Und tatsächlich, der Server sendet GARP Pakete mit seiner MAC und einer IP die seinem Netzwerkadapter nie zugewiesen war.

Bisher einzige Lösung war den Netzwerkadapter zu wechseln. Deaktivieren des Adapters oder ein Serverneustart brachten keinen erfolg.

Wieso allerdings nur von Linux Maschinen ein Paketverslust beim Ping Auftritt ist mit Schleierhaft. Denn auf beiden, Linux und Windows ist durch das GARP Paket kurzzeitig ein doppelter Eintrag vorhanden.

Schreibe eine Antwort