KabelBW Helpdesk Archiv

Hallo KabelBW Nutzer,

ich habe seit ca. 1 Woche auffällig viel Traffic in meinem KabelBW Clever 16 downlink Kanal, ohne (!) das ein PC an meinem Modem (Arris/ Touchstone) angeschlossen ist. Der Traffic fiel mir durch das Blinken der für die Internetverbindung zuständigen LED auf, die ich bislang als "Daueran" bei aktiven, aber nicht genutzter Internetverbindung kannte.

Da das Ding nur bei Datenübertragung zwischen Modem und an Ethernet Port hängenden Etwas zu blinken scheint, hatte ich natürlich zuerst einen der über eine Fritzbox als Router angeschlossenen PC als Verursacher für den Datenverkehr in Verdacht.

Also fix die Fritzbox und somit das dahinter liegende lokale Netz abgezogen.. LED am Modem AUS.. (was normal ist. die zeigt ja auch eine Ethernetverbindung an..)

Dann einen (dummen..) Switch angeklemmt.. siehe da.. die LED am Modem blinkt wieder... es kommen also offenbar Daten "aus" dem Modem getropft..

Dann nur ein Terminal direkt an den einen zweiten Ausgang des Switches gehängt und mit Wireshark geguckt, was mich da heimsucht:

Und siehe .. es sind ca. 100 Pakete die Sekunde ARP anfragen... (das nun schon seit einer Woche... ziemlich konstant..)


(fast nix anderes dabei.. das sieht wirklich nicht nach einem Portscan ( seit 1 Woche!) oder nach einem DOS Angriff (was lachhaft wäre .. klaut nur minimal Bandbreite..) oder einem "Hack Robot" aus.. es fällt auf, dass alle ARP Pakete nach dem Motto:

xxx.xxx.xxx.1 sucht xxx .xxx.xxx.yyy aufgebaut sind, wobei alle xxx.xxx.xxx.1 im IP Adressraum von Kabelbw liegen..

oder anders gesagt: Es sieht so aus, als wenn auf meinem Port netzintererner ARP Verkehr rauskommt, der da nicht hingehört...

Alle Pakete sind als "Broadcast" adressiert, ich vermute also, dass noch andere Endbenutzer was davon abbekommen.

Der "Tanz" ging bei mir los, nachdem ich mein Internetzugang für ein paar Stunden ausgefallen war, der Zugang als solcher funktioniert einwandfrei und mit voller ( gefühlter..) Bandbreite... die ARP Pakete verstopfen also (noch) nicht den Downlink, machen mich aber etwas unruhig, weil man nun nicht mehr erkennen kann, ob Daten aus meinem lokalen Netz ins Internet gehen..

Habe eine entsprechende Störmeldung Online verfasst, KabelBW hat sich auch vorbildlich bemüht, mit mir Kontakt aufzunehmen und der Problem nachzugehen, allerdings war der Hotline und der von dieser Angesprochene lokale Dienstleister darauf fixiert, Hardwareprobleme bei mir, meinem Modem oder im Kabel selbst auszumachen und hatte keinerlei Zugriff / Erfahrung oder Kenntnis im Bereich Netzwerkrouting im Backbone Bereich von KabelBW, so dass ich am Ende an die kostenpflichtige Hotline verwiesen wurde (ich betone nochmals, dass man hier VORHER wirklich sehr bemüht war mir zu helfen, aber einfach der falsche Ansprechpartner für ein "nicht beim Enduser hardwareproblem" war)


Aus meiner laienhaften Sicht scheint es sich aber nicht um ein Hardware Problem auf der Stecke " Enduser - Knoten" zu handeln sonder um einen "verkonfiguriertern" Switch oder Router im Bereich des Knotens ( wenn das bei KabeBW so heisst...).

Es macht einfach keinen Sinn, dass bei mir ARP Anfragen aus der "Leitung tropfen", die für ganz andere IP Adressbereich gedacht sind..

217.x.x.x..1 will 217.x Adressen wissen
78..x.x.x...1 will 78.x Adressen wissen
94.x.x.x....1 will 94.x Adressen wissen

(um ein paar zu nennen.. bei Interesse mach ich gerne ein ausführliches Protokoll..)

sind alles ARP "Anfrager" ..meine IP liegt im 82.x Segement.. aus meiner Sicht also völlig Blödsinn und ein Haufen unnötiger Traffic..


Nun die spannende Frage:

*Ist dieser ARP Traffic normal und ich hatte bislang einfach zur das Glück, davon nix abbekommen zu haben?

*Hat sonst noch jemand seit ein paar Tagen unerwartenen Downlink Traffic festgestellt?

*An wen kann man sich ggf. wg "Netzinterna" wenden? (Ich vermute hartnäckig ein "falschen Haken" in irgendeinem Webinterfaces eines Routers / Switches oder Filters.. wenn man jemanden erwischt, der sich damit auskennt und Zugriff hat, vermutlich eine 2 min Sache.. aber über die Hotline unlösbar)

Gruß eines zufrieden Kunden

Olaf

Da das Thema in meinen Augen recht interessant klingt, würde ich vorschlagen, dass Du es hier auch nochmal postest:
http://www.heise.de/foren/S-Internet-xDSL-Kabel/forum-7301/list/

Im Heise-Forum gibt es zwar jede Menge Trolle, aber auch eine nicht zu verachtende Anzahl von Personen, die richtig Ahnung haben. Dürfte einige interessieren.

Wete
_________________
Musikverein • Wetecam • SJBPO

Spaß ohne Grenzen!

He he, mich interessiert das durchaus auch! [img]images/smiles/005.gif[/img]
Ich fänds klasse wenn du mal 3 - 5 log Auszüge posten würdest [img]images/smiles/002.gif[/img]

Als, dann mach ich mich mal richtig unbeliebt und postet ein paar Zeilen von dem, was mir das aus dem Modem entgegen kommt [img]images/smiles/002.gif[/img]




(wie zu erkennen, fehlen da ein paar Pakete zwischendrin, da stand aber im Prinzip das gleiche drinne..)

Auszug stammt aus einem "Wireshark" Mitschnitt eines PC direkt am Modem angestöpselt

Gruß
Olaf

Das sind KBW-Hauptserver.
Werden immer dann aktiv, wenn neue Firmwares oder ähnliches passiert.
Einer is sogar nur DNS-Server.

Keine Panik. Der Traffic, der für diese Abfragen draufgeht dürfe sich so um die ~0,0001 mb/s drehen.

Danke für die Bestätigung meiner Annahme, dass die ARP anfragen von "netzwerktragenden" Servern ( die -1 er scheinen Gateways zu sein) ausgehen.


Auch das deckt sich mit meinen Beobachtungen, gefühlt ist nix langsamer und auch das Bytevolumen findet man nicht wirklich wieder

Meine "Panik" ist in der Beobachtung begündet, dass scheinbar das Routing der ARP Pakete nicht richtig funktioniert:

Ich hocke irgendwo in der untersten Ebene des Netzes an dem Adressbaum der mit 84.x anfängt .. und bekomme munter ARP Anfragen durchgereicht, die in ganz anderen Netzsegmenten landen sollten.

Das scheint so zu sein, als wenn der Postbote bei mir im Haus in Stuttgart klingelt und mich laufend fragt, ob ich wüsste, in welchem Stock jemand mit einer bekannten Hausnummer in Dortmund oder Hamburg wohnt..

Ein solches Verhalten kann als "fallback Notfalllösung" Sinn machen, aber bei einen stabilen Netz ist es doch grade der Gag , dass man an Hand der Adresse gezielt weiterleiten kann alles unternimmt, um den Traffic nur in dem Netzsegemnenten stattfinden zu lassen, in dem sich Absender und Empfänger befinden. (Wenn ich es grob richtig verstanden habe, ist das der "Job" der Gateways.. )


Wenn ich in "Panik" verfallen wollte, könnte ich mir natürlich auch vorstellen, dass da jemand finsteres versucht, einen frisierten DNS Server oder andere das Routing bestimmende Tabellen im Netz zu platzieren... aber das ist mehr ein Fall von fortgeschrittene rParanoia [img]images/smiles/002.gif[/img]

Zur Zeit ist es für mich mehr ein kosmetisches Problem.. die Blöde Traffic LED am Modem blinkt obwohl kein (von mir erzeugter) Traffic da ist.. nicht wirklich schlimm, nur schlechter als vorher und somit nervig.

Gruß aus dem Enztal

Olaf

Paranoia im Kontext "finstere Machenschaften und DNS-Beeinflussung" ist vielleicht gar nicht sooo unbegründet, wie man denken könnte:
http://www.heise.de/security/Massives-DNS-Sicherheitsproblem-gefaehrdet-das-Internet--/news/meldung/110641

Aber das nur am Rande.
_________________
Musikverein • Wetecam • SJBPO

Spaß ohne Grenzen!

Grins.. wie war das noch gleich: Nur weil man an Verfolgungswahn leidet, kann man noch noch nicht sicher sein, nicht verfolgt zu werden... [img]images/smiles/003.gif[/img]

Guten Tach in die Runde,

ich habe genau die gleichen Beobachtungen/Mitschnitte bei, bis jetzt, 4 verschiedenen Kabel BW Kunden gemacht.

Hat sich da was ergeben ?!

Muss man das als Stoerung melden oder einfach hinnehmen ?!
Mein Router kommt ja fast zu nix anderem mehr vor lauter ARP Anfragen zu blocken [img]images/smiles/001.gif[/img]

Wie seid Ihr jetzt verblieben ?!

Gruss
Norman

Wenn 3 Anfragen die Sekunde kommen, und der Router ist in der Lage ~200 Anfragen die Sekunde zu verarbeiten, dann passt das schon

Dank Dir [img]images/smiles/001.gif[/img]
war nicht ganz ernst gemeint meine Aussage aber okay !

Aber es ist ja wirklich so dass das eigentlich ja nicht normal ist dass ich das in meinem Netz mitbekommen sollte oder ?!

THX
Norman

Danke für die Rückmeldung..... dann bin ich wenigstens nicht der einzige, den es erwischt hat..

Getan hat sich bei mir bislang gar nichts... das ganze geht munter weiter, behindert nicht wirklich...allerdings habe ich regelmäßig unregelmäßig [img]images/smiles/003.gif[/img] ein Abschmieren meiner Fritzbox zu vermelden.. so im Schnitt alle 14 Tage bricht die Fritzbox die DSL Verbindung ab und ist erst nach einem Reboot wieder "am Netz"...bilde mir ein, das Problem im Jahr davor nie gehabt zu haben.. ..das Dumme ist, bislang habe ich nie bewusst mitbekommen, wieso die Fritzbox aufgegeben hat..

Bin auch der Ansicht, dass da Traffic bei Endstellen landet, wo er nicht hingehört... und das riecht nunmal nach einem nicht sauberen Routing irgendwo bei den "Netzgurus" ..sehr wahrscheinlich nur irgendeine "Test -Leiche" oder ein anders als gewohnt konfigurierter Kasten.. aber völlig unmöglich, diese Info bei Kabelbw über die Kundensupport Schiene los zu werden..die reißen sich zwar wirklich ein Bein aus, um was zu tun, aber der Fehler passt nicht in das vergebene "Fehler Beseitigungs Protokoll" , was bestimmt 95% aller Probleme abfängt, aber bei "exoten Problemen" versagt, (wobei ich gerne Zugebem das die meisten dieser Exoten Probleme in der Dappigkeit des Kunden begründet sind..)


Gruß

Olaf / Fasnet

Diese Adressen sind wie gesagt KBW Server.
2 davon DNS Server, 2 davon DHCP Server, die anderen kenne ich nicht.
Dass die in regelmäßigen Abständen gerne deine MAC-Adresse wissen möchten ist normal [img]images/smiles/002.gif[/img] .

Morgen,

also ich habe, wie gesagt, das ganze bei 4 weiteren Bekannten im naeheren Umkreis ueberprueft und siehe da genau das Gleiche.

Jedoch bei anderen KBW Kunden die weiter weg sind und ein anderes IP Range haben ist dies nicht der Fall !

Und ich habe auch schon ab und an in mein log geschaut und das war bis jetzt immer "clean".
Hier im Forum sind ja bestimmt keine KBW Admins die mal Stellung nehmen, denn ich gebe meinem Vorredner recht - das ist kein Problem fuer die Hotline [img]images/smiles/001.gif[/img]

Gruss
Norman

Ähem, nur damit keine Unklarheiten aufkommen.
Du weißt das es sich hier um ein Privates Forum handelt?
Wir sind nicht von Kabel-BW. [img]images/smiles/006.gif[/img]