tcp-dump ist komisch!

[theomega]

Hallo Leute
mein TCP-Dump gibt so komische Sachen aus! Ich habe mal ssh und http ausgenommen, jetzt bleiben diese Dinge überig:

Code: Select all

20:44:16.507598 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154d): VRRPv2-advertise 96: vrid=254 prio=100 authtype=2 intvl=1
20:44:16.508865 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50807+ PTR? 18.0.0.224.in-addr.arpa. (41) (DF)
20:44:16.509393 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50807 1/3/5 PTR[|domain] (DF)
20:44:16.509794 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50808+ PTR? 253.133.160.217.in-addr.arpa. (46) (DF)
20:44:16.510151 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50808 1/3/3 (195) (DF)
20:44:16.510453 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50809+ PTR? 251.133.160.217.in-addr.arpa. (46) (DF)
20:44:16.510738 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50809 1/3/3 (194) (DF)
20:44:16.517513 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154d): VRRPv2-advertise 96: vrid=253 prio=100 authtype=2 intvl=1
20:44:16.527509 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154d): VRRPv2-advertise 96: vrid=252 prio=100 authtype=2 intvl=1
20:44:16.537506 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154d): VRRPv2-advertise 76: vrid=251 prio=100 authtype=2 intvl=1
20:44:16.634254 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  1668 1/2/2 A zigarmaxx.de (128) (DF)
20:44:16.634708 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50810+ PTR? 58.133.160.217.in-addr.arpa. (45) (DF)
20:44:16.634992 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50810 1/3/3 (180) (DF)
20:44:16.811931 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  1669 1/3/3 (187) (DF)
20:44:17.082839 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43884* 1/2/2 (211) (DF)
20:44:17.083272 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50811+ PTR? 35.133.160.217.in-addr.arpa. (45) (DF)
20:44:17.083616 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50811 1/3/3 (181) (DF)
20:44:17.096614 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43885 1/2/2 (185) (DF)
20:44:17.148673 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43886 1/4/4 A soap-eu.amazon.com (203) (DF)
20:44:17.148868 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50812+ PTR? 146.166.171.207.in-addr.arpa. (46) (DF)
20:44:17.299361 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  2142 1/2/2 A zigarmaxx.de (128) (DF)
20:44:17.475859 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50812* 1/3/3 (211) (DF)
20:44:17.517616 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154e): VRRPv2-advertise 96: vrid=254 prio=100 authtype=2 intvl=1
20:44:17.519967 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  2284 1/2/2 A zigarmaxx.de (128) (DF)
20:44:17.527527 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154e): VRRPv2-advertise 96: vrid=253 prio=100 authtype=2 intvl=1
20:44:17.537528 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154e): VRRPv2-advertise 96: vrid=252 prio=100 authtype=2 intvl=1
20:44:17.547521 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154e): VRRPv2-advertise 76: vrid=251 prio=100 authtype=2 intvl=1
20:44:17.845751 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  2143 1/4/4 (245) (DF)
20:44:17.911991 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  2285 1/4/4 (245) (DF)
20:44:18.071429 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43887 1/4/4 A soap-eu.amazon.com (203) (DF)
20:44:18.354147 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  1668 1/2/2 A zigarmaxx.de (128) (DF)
20:44:18.527646 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154f): VRRPv2-advertise 96: vrid=254 prio=100 authtype=2 intvl=1
20:44:18.537544 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154f): VRRPv2-advertise 96: vrid=253 prio=100 authtype=2 intvl=1
20:44:18.547554 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154f): VRRPv2-advertise 96: vrid=252 prio=100 authtype=2 intvl=1
20:44:18.557544 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x3154f): VRRPv2-advertise 76: vrid=251 prio=100 authtype=2 intvl=1
20:44:18.572606 strohhalm20.schlund.net.domain > zigarmaxx.de.58996:  1669 1/4/4 (245) (DF)
20:44:18.706392 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43888 1/4/4 A soap-eu.amazon.com (203) (DF)
20:44:18.718825 strohhalm20.schlund.net.domain > s15105680.rootmaster.info.1796:  1487 NXDomain 0/1/0 (115) (DF)
20:44:18.719225 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50813+ PTR? 86.133.160.217.in-addr.arpa. (45) (DF)
20:44:18.720491 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50813* 1/3/3 (222) (DF)
20:44:19.333511 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43889 1/4/4 A soap-eu.amazon.com (203) (DF)
20:44:19.537675 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x31550): VRRPv2-advertise 96: vrid=254 prio=100 authtype=2 intvl=1
20:44:19.547564 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x31550): VRRPv2-advertise 96: vrid=253 prio=100 authtype=2 intvl=1
20:44:19.557563 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x31550): VRRPv2-advertise 96: vrid=252 prio=100 authtype=2 intvl=1
20:44:19.567560 gw-prtr-20-a.schlund.net > VRRP.MCAST.NET: AH(spi=0xd9a085fd,seq=0x31550): VRRPv2-advertise 76: vrid=251 prio=100 authtype=2 intvl=1
20:44:19.613047 strohhalm20.schlund.net.domain > mh-hosting.de.54062:  43890 1/4/4 A soap-eu.amazon.com (203) (DF)
20:44:19.684817 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15415 1/2/2 A[|domain] (DF)
20:44:19.685523 p15112609.pureserver.info.pureserver.info.36521 > strohhalm20.schlund.net.domain:  50814+ PTR? 70.133.160.217.in-addr.arpa. (45) (DF)
20:44:19.686754 strohhalm20.schlund.net.domain > p15112609.pureserver.info.pureserver.info.36521:  50814* 1/3/3 (209) (DF)
20:44:19.697384 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15416 1/2/2 A[|domain] (DF)
20:44:19.709970 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15417 1/2/2 A[|domain] (DF)
20:44:19.722553 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15418 1/2/2 A[|domain] (DF)
20:44:19.735025 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15419 1/2/2 A[|domain] (DF)
20:44:19.748996 strohhalm20.schlund.net.domain > sff-clan.net.1307:  15420 1/2/2 A[|domain] (DF)

die domains, wie "sff-clan.net" oder "mh-hosting.de" sagen mir rein garnichts, und der dump gibt immer neue Domains aus. Dagegen ist der strohalm20 immer der gleiche!

Was soll die Kacke?

Grüße
TO

[captaincrunch]

Ist deine Netzwerkkarte im Promiscious Mode?

[theomega]

glaube nicht, oder?

Code: Select all

eth0      Link encap:Ethernet  HWaddr 00:20:ED:37:86:DC
          inet addr:217.160.133.26  Bcast:217.160.133.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15867634 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18868011 errors:0 dropped:0 overruns:17 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2628912701 (2.4 GiB)  TX bytes:889872005 (848.6 MiB)
          Interrupt:15 Base address:0xb000

hilft das hier weiter?

Code: Select all

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost:10025         *:*                     LISTEN
tcp        0      0 *:mysql                 *:*                     LISTEN
tcp        0      0 *:pop3                  *:*                     LISTEN
tcp        0      0 localhost:783           *:*                     LISTEN
tcp        0      0 *:www                   *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN

komisch ist nur das scheiss Multicast, aber das ist es glaube ich nicht!

[theomega]

keiner ne Ahnung?
was sagt mir die Zeilen aus dem tcpdump überhaupt? steht da irgendwo der Port?

[dodolin]

Vielleicht solltest du tcpdump mal mit der Option -n starten, damit die ganzen Nameserveranfragen nicht unnötigerweise mit angezeigt werden?

@CC: Deine Frage erstaunt mich etwas. Ist es nicht so, dass das Starten von tcpdump die Karte automatisch in den Promiscous Mode versetzt?

[captaincrunch]

@CC: Deine Frage erstaunt mich etwas. Ist es nicht so, dass das Starten von tcpdump die Karte automatisch in den Promiscous Mode versetzt?

Standardmäßig ja, aber hat hat nichts gesagt, ob er die Option "-p" dabei benutzt hat. ;)

[theomega]

gut, also der oben gepostet log ist mit diesem Befehl hier enstanden:

Code: Select all

tcpdump -i eth0 not port ssh and not port http

wenn ich jetzt noch ein -n dranhänge wird, wie erwartet statt den Domain-Names Ip angezeigt, die Zeilen sind trotzdem noch da.

Grüße
TO

[dodolin]

Ich verstehe nicht ganz, wo eigentlich das Problem ist?
Dein Server befragt dauernd den Nameserver (siehe resolv.conf) und dieser liefert dir Antworten. Vermutlich hast du nen Dienst laufen (Webserver, MTA, ...), der halt zu jeder connect()'enden IP nen reverse Lookup macht.

[theomega]

sicher? scheint logisch, habe meinen Apache wegen Logs entsprechend eingestellt! WIe könnte ich das testen? welche Regel muß ich noch hinzufügen um DNS resolvs wegzulassen?

[dodolin]

Ja, sicher. Sieht man ja an deinen Logs.

Vielleicht noch "and not port dns" dazunehmen?

BTW: Habe jetzt auch zum ersten mal tcpdump auf meinem Rooty angeschmissen und bin erstaunt, wie _viel_ dieses Multicast-Mülls vom Schlund-Router kommt. Falls das wirklich was mit den Debian-Problemen zu tun haben sollte, sollte Schlund zuallererst mal diesen Schrott abstellen. Anyway, ich werde das mal beobachten und eventuell den Support mit dummen Fragen nerven, die sie nicht mit ihren Textbausteinen beantworten können. ;)

[theomega]

oki, dann hätte ich dazu nochmal zwei Fragen:
1. Wie kann ich das Multicast abstellen? Nervt irgendwie
2. Warum steht da überall Schlund drin? Ist doch ein 1und1 Server!

[boozedǃ]

Schlund & Partner und 1&1 gehören doch beide zur United Internet AG.
Wundert mich jetzt nicht so. :)

[dodolin]

1. Wie kann ich das Multicast abstellen? Nervt irgendwie

Ich muss das zurücknehmen. Es ist nicht direkt Multicast, sondern VRRPv2, welches Multicast verwendet. Ich bin gerade dabei, mich dazu schlau zu machen, u.a. hier:

http://www.hanetworks.com/networks/noki ... vrrpv2.htm
http://www.ietf.org/proceedings/03jul/197.htm

Abstellen wirst du das nicht können.

Es scheint mir aber ne gute Sache zu sein. Muss mich nur noch ein wenig mehr einlesen, damit ich da mehr dazu sagen kann - ist ein neues Thema für mich... ;)

[theomega]

toll, das du dich damit beschäftigst, danke!

[dodolin]

toll, das du dich damit beschäftigst, danke!

Bild dir nur nich zu viel ein, ich mach das nur aus Eigeninteresse. ;)

[theomega]

kann mir doch egal sein, aus welcher Interesse heraus du das machst!

[captaincrunch]

Jetzt sag nicht, dass du VRRP noch nicht kanntest? Dass ich sowas noch erleben darf! ;)

Ich würde mir jedenfalls mehr Gedanken darüber machen, wenn keine VRRP-Multicasts mehr kommen würden. ;)

[dodolin]

Jetzt sag nicht, dass du VRRP noch nicht kanntest? Dass ich sowas noch erleben darf!

Woher sollte ich sowas kennen, wenn ich nicht bei nem ISP oder einer größeren Firma mit eigenem Netzwerkequipment als Netzadmin arbeite?

Ich beschäftige mich halt primär erstmal mit dem Zeug, was für mich selbst interessant ist...

Ich würde mir jedenfalls mehr Gedanken darüber machen, wenn keine VRRP-Multicasts mehr kommen würden.

Das mag sein. ;)

Trotzdem wäre es aber vielleicht mal ganz interessant zu wissen, ob das zum Traffic dazuzählt oder nicht - immerhin ist laut Protokoll vergesehen, dass so ne VRRP-Kiste 1 Paket pro Sekunde rausbläst und wenn das erstmal einige mehrere Kisten per Multicast machen, dann summiert sich da schon so einiges zusammen... auch interessant wäre es vielleicht, mal den Traffic zu messen, der über VRRP zu den Rootservern kommt.

[theomega]

läuft das auf tcp/ip ebene oder darunter? wenn auf tcpip, auf welchem port denn?

[dodolin]

Es läuft auf IP "Ebene" und hat dort eine eigene Protokoll-Nummer: 112 (IIRC). Da gibts also kein TCP und daher auch keine Ports.