Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
aldi

Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 20.07.2011, 16:03

Hallo!

Ich habe seit kurzem meinen ersten Netzzugang über Kabel und deswegen ist mir das eine oder andere Verhalten neu.

Wenn ich mit tcpdump auf dem Internetport meines Routers schaue, sehe ich einen regen DHCP Verkehr, der von DHCP NAKs dominiert wird. Ganz selten sieht man ein OFFER oder ACK. Nun weiß ich, dass Kabel ein shared medium ist und dass die DHCP Antworten per Broadcast gesendet werden. Aber eine Menge von 2-3 NAKs/Sekunde scheint mir doch recht viel zu sein - es können wohl schlecht alle Unitymedia-Kunden aus der Stadt an einem einzigen Netzwerksegment angeschlossen sein.

Die NAKs gelten wohlgemerkt nicht meinem Router - der bezieht erfolgreich seine Adresse und ist später ruhig und zufrieden.

Ich würde gerne von euch hören, ob das der Normalfall ist, oder ob ich bei mir etwas besonderes beobachte.

addicted
Kabelkopfstation
Beiträge: 3825
Registriert: 15.03.2010, 02:35

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von addicted » 21.07.2011, 01:13

Ich seh hier nix. Gib doch zur Kontrolle mal Deine Filter an.

aldi

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 21.07.2011, 07:54

Welche "Filter" meinst du?

Wenn du damit die Firewall des Routers meinst: ich habe einen Asus 500gp Router mit OpenWRT, den ich selbst konfiguriert habe. Dieser Router ist direkt an das Modem angeschlossen. Die Firewall-Regeln sind insofern irrelevant, weil tcpdump die Pakete an der Schnittstelle abfängt, noch bevor sie durch den Packet-Filter laufen.

addicted
Kabelkopfstation
Beiträge: 3825
Registriert: 15.03.2010, 02:35

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von addicted » 21.07.2011, 11:03

Filter sind die Parameter für tcpdump :)

aldi

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 21.07.2011, 18:43

Achso, sag das doch gleich.

Code: Alles auswählen

tcpdump -i eth0.1 -n -vxX -s 0 -w /tmp/dhcpdump.cap udp port 67
Ich würde auch den Dump anfügen, ich darf aber keine Anhänge erstellen.

addicted
Kabelkopfstation
Beiträge: 3825
Registriert: 15.03.2010, 02:35

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von addicted » 21.07.2011, 23:19

In der Tat, jetzt seh ich sie auch...

Code: Alles auswählen

tcpdump -i eth0 -nv -s0 port 67 | grep Client-Ethernet
Da sind hauptsächlich 00:13:b6 und 00:24:af, das sind Sling Media und Echostar, also TV Boxen.

Sofern ich das erkennen kann, wiederholen sich die MAC Adressen alle paar Sekunden. Schade, dass man die Requests nicht sehen kann :)

Interessant find ich auch immerwieder diese vielen ARP Requests. Da liegen auf meinem Netzsegment scheinbar ziemlich viele IP-Netze. So getrennt wie man sich da wünscht scheint das ja nicht zu sein...

aldi

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 21.07.2011, 23:39

Tja, das wäre wirklich interessant... Zumindest weiß ich jetzt, dass es wahrscheinlich der "Normalfall" ist. Was mich zum Nachforschen brachte war die LED am Modem, die auch dann blinkte, wenn alle Computer (bis auf den Router) aus waren.

Ich habe bei Unitymedia nachgefragt, vielleich bekomme ich sogar eine zufriedenstellende/erklärende Antwort, die ich hier reinstellen könnte.

aldi

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 22.07.2011, 08:10

Ich habe eine Antwort bekommen, aber der Inhalt... naja, lest selbst:
(...)
wir haben Ihren Anschluss überprüft und konnten keine Fehler feststellen, die das von Ihnen beschriebene Problem verursachen.
Eventuell liegt eine Beeinträchtigung in der Konfiguration Ihres Equipments vor.
(...)
Natürlich mit dem obligatorischen Hinweis auf die 0900-Nummer. Kann man also verschieden interpretieren:
  • Mein Router haluziniert und denkt sich diesen Traffic aus (eher nicht).
  • UM ist nicht in der Lage ihr Netzwerk zu diagnostizieren (wohl auch eher unwahrscheinlich).
  • UM sieht das selbe Verhalten wie ich, es ist ihnen schnurzpiepegal und sie haben keine Lust eine vernünftige Antwort zu schreiben, wie z.B.: "Wir sehen das Verhalten auch, es ist aber kein Fehler."

addicted
Kabelkopfstation
Beiträge: 3825
Registriert: 15.03.2010, 02:35

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von addicted » 22.07.2011, 09:46

Ich interpretiere das so:
"Wir haben keine Ahnung, wovon Sie da reden."

Ein Problem entsteht dadurch ja aber glücklicherweise nicht. Die Bandbreitenlimits sind so großzügig, dass dieser Metatraffic Dich nicht wirklich einschränkt. Ich hab jetzt die Spezifikation von Docsis nicht gelesen, aber ich nehme mal an, dass Broadcast effizient ist. Die Broadcasts von den Clients sind ausserdem nicht sichtbar, was fein ist.
Neben den NACKs gibt es natürlich auch ACKs, und die könnte man enumerieren um benutzte MACs und IP-Adressen zu erhalten. Theoretisch könnte man damit eine MAC über längere Zeit tracken, was z.B. hilfreich ist wenn man bekannte Sicherheitslücken ausnutzen will, etwa vergleichbar mit OS Fingerprinting. ACK auf RENEW ist üblicherweise kein Broadcast, daher eingeschränkt auf Geräte, die auch mal ausgeschaltet werden :)

aldi

Re: Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Beitrag von aldi » 22.07.2011, 10:50

Ja, schon klar. Ich würde nur einer erklärende Antwort bevorzugen statt diesem Textbausteinelement. Aber das Leben ist kein Wunschkonzert. ;)

Antworten

Wer ist online?

Mitglieder in diesem Forum: devil1978, why_ und 5 Gäste