Fehlermeldung in Logdatei

[achberger]

Hallo,

ich habe die folgende Meldungen im Logfile und dem täglichen Report unter 'Unusual System Events':

May 19 02:37:08 intranator kernel: 85.93.72.84 sent an invalid ICMP type 3, code 1 error to a broadcast: 85.93.72.95 on eth4
May 19 02:37:08 intranator kernel: 85.93.72.85 sent an invalid ICMP type 3, code 1 error to a broadcast: 85.93.72.95 on eth4

Die Meldungen kommen im Sekundentakt

Das Netz ist 85.93.72.80/28 (85.93.72.80-85.93.72.95)
Intranator Interface: 85.93.72.81/255.255.255.240

Die IF, die im Logfile als Störenfriede auftauchen sind folgendermassen konfiguriert:

85.93.72.84/255.255.255.240
85.93.72.85/255.255.255.240

[Gerd von Egidy]

Hallo,

ICMP type 3, code 1 bedeutet "Destination Unreachable" oder "Host Unreachable" und wird als Antwort auf ein Paket an dessen Absender geschickt.

Eine Broadcast-Adresse wie 85.93.72.95 ist kein gültiger Absender, höchstens ein gültiger Empfänger von Paketen. Daher beschwert sich der Intranator über diese Pakete.

Ich vermute, bei einem Ihrer Rechner ist die Netzmaske falsch eingestellt oder es wird die IP 85.93.72.95 verwendet. Dieser verwendet dann die Broadcast-Adresse als Absender und verschickt damit Pakete. Die Rechner .84 und .85 bekommen diese Pakete und können mit denen nichts anfangen und schicken daher die ICMP-Fehlermeldungen an den Absender (hier gleich der Broadcast-Adresse 85.93.72.95) zurück.

Um den Urheber der Pakete zu finden, sollten Sie auf den Rechnern .84 oder .85 einen Paketsniffer wie z.B. Ethereal installieren. Mit einem Paket-Dumps sollten Sie dann anhand der MAC-Adresse den wahren Uhrheber herausfinden können.

Herzliche Grüße,

v. Egidy

[achberger]

Hallo,

leider kann ich da nix installieren, das beide Geräte sind VPN-Boxen. Es befindet sich nur ein weiteres Gerät in der DMZ (*.82), das habe ich überprüft, da ist die Netzmaske richtig eingetragen.

Hier mal ein Auszug von trace, das habe ich mal ne weile auf der Konsole laufen lassen:

come.vpn5:> trace -ip23 200
011942.574 R DATA[0064]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0806
Arp Request: Who is 85.93.72.85 ?

012012.441 R DATA[0096]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0800
IP-Packet from 85.93.72.81 to 85.93.72.95 protocol 0x11
UDP-Message, sourceport 137 destinationport 137

012012.441 X DATA[0070]
DST=00:13:21:78:06:e6 SRC=00:a0:f9:07:8f:13 protocol 0x0800
IP-Packet from 85.93.72.84 to 85.93.72.81 protocol 0x1
ICMP-Message , type destination unreachable, host unreachable

012014.441 R DATA[0096]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0800
IP-Packet from 85.93.72.81 to 85.93.72.95 protocol 0x11
UDP-Message, sourceport 137 destinationport 137

012014.441 X DATA[0070]
DST=00:13:21:78:06:e6 SRC=00:a0:f9:07:8f:13 protocol 0x0800
IP-Packet from 85.93.72.84 to 85.93.72.81 protocol 0x1
ICMP-Message , type destination unreachable, host unreachable

012015.441 R DATA[0096]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0800
IP-Packet from 85.93.72.81 to 85.93.72.95 protocol 0x11
UDP-Message, sourceport 137 destinationport 137

012015.441 X DATA[0070]
DST=00:13:21:78:06:e6 SRC=00:a0:f9:07:8f:13 protocol 0x0800
IP-Packet from 85.93.72.84 to 85.93.72.81 protocol 0x1
ICMP-Message , type destination unreachable, host unreachable

012016.441 R DATA[0096]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0800
IP-Packet from 85.93.72.81 to 85.93.72.95 protocol 0x11
UDP-Message, sourceport 137 destinationport 137

012016.441 X DATA[0070]
DST=00:13:21:78:06:e6 SRC=00:a0:f9:07:8f:13 protocol 0x0800
IP-Packet from 85.93.72.84 to 85.93.72.81 protocol 0x1
ICMP-Message , type destination unreachable, host unreachable

Ich sehe zwar die type3-Meldungen aber keine Auslöser? Nur Intranator scheint einen Broadcast auf Port 137_udp zu machen. Ist das nicht NetBios?

???

Naja, erst mal ein schönes WE
Grüße
Jürgen Achberger

[Gerd von Egidy]

Hallo,

ich habe nochmal nachgeschaut und muß meinen letzten Post präzisieren: Kein Rechner darf auf ein Broadcast-Paket mit einer ICMP-Fehlermeldung antworten. Dies ist in RFC 1122, Kapitel 3.2.2 ganz eindeutig festgelegt.

012012.441 R DATA[0096]
DST=FF:ff:ff:ff:ff:ff SRC=00:13:21:78:06:e6 protocol 0x0800
IP-Packet from 85.93.72.81 to 85.93.72.95 protocol 0x11
UDP-Message, sourceport 137 destinationport 137

Hier sendet der Intranator einen Broadcast auf Port 137. Diese Netbios-Broadcasts sind für die Windows-Freigabe des Backup-Verzeichnisses nötig.

012012.441 X DATA[0070]
DST=00:13:21:78:06:e6 SRC=00:a0:f9:07:8f:13 protocol 0x0800
IP-Packet from 85.93.72.84 to 85.93.72.81 protocol 0x1
ICMP-Message , type destination unreachable, host unreachable

Und hier antwortet der Rechner .84 auf ebendieses Broadcast. Damit verletzt er entweder die RFC 1122 oder ist falsch konfiguriert.

Der Intranator kann da leider wenig machen. Versuchen Sie mal ein Firmware Update von den VPN-Boxen. Wenn das nichts hilft, müssen Sie sich an deren Hersteller wenden.

Herzliche Grüße,

v. Egidy

[achberger]

Hallo Support,

nach Firmware-Update der VPN-Boxen halten die sich bei Broadcasts jetzt scheinbar aus dem Funkverkehr raus. Der Trace zeigt jedenfalls keine Antworten mehr an.

Vielen Dank und Grüße
Jürgen Achberger