• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Unitymedia Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Diskutiere Viele DHCP NAKs auf dem Router sichtbar - Normalfall? im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Hallo! Ich habe seit kurzem meinen ersten Netzzugang über Kabel und deswegen ist mir das eine oder andere Verhalten neu. Wenn ich mit tcpdump...
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #1

Gast

Gast
Hallo!

Ich habe seit kurzem meinen ersten Netzzugang über Kabel und deswegen ist mir das eine oder andere Verhalten neu.

Wenn ich mit tcpdump auf dem Internetport meines Routers schaue, sehe ich einen regen DHCP Verkehr, der von DHCP NAKs dominiert wird. Ganz selten sieht man ein OFFER oder ACK. Nun weiß ich, dass Kabel ein shared medium ist und dass die DHCP Antworten per Broadcast gesendet werden. Aber eine Menge von 2-3 NAKs/Sekunde scheint mir doch recht viel zu sein - es können wohl schlecht alle Unitymedia-Kunden aus der Stadt an einem einzigen Netzwerksegment angeschlossen sein.

Die NAKs gelten wohlgemerkt nicht meinem Router - der bezieht erfolgreich seine Adresse und ist später ruhig und zufrieden.

Ich würde gerne von euch hören, ob das der Normalfall ist, oder ob ich bei mir etwas besonderes beobachte.
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #2
Ich seh hier nix. Gib doch zur Kontrolle mal Deine Filter an.
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #3
Welche "Filter" meinst du?

Wenn du damit die Firewall des Routers meinst: ich habe einen Asus 500gp Router mit OpenWRT, den ich selbst konfiguriert habe. Dieser Router ist direkt an das Modem angeschlossen. Die Firewall-Regeln sind insofern irrelevant, weil tcpdump die Pakete an der Schnittstelle abfängt, noch bevor sie durch den Packet-Filter laufen.
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #4
Filter sind die Parameter für tcpdump :)
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #5
Achso, sag das doch gleich.
Code: 
tcpdump -i eth0.1 -n -vxX -s 0 -w /tmp/dhcpdump.cap udp port 67
Ich würde auch den Dump anfügen, ich darf aber keine Anhänge erstellen.
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #6
In der Tat, jetzt seh ich sie auch...
Code: 
tcpdump -i eth0 -nv -s0 port 67 | grep Client-Ethernet

Da sind hauptsächlich und , das sind Sling Media und Echostar, also TV Boxen.

Sofern ich das erkennen kann, wiederholen sich die MAC Adressen alle paar Sekunden. Schade, dass man die Requests nicht sehen kann :)

Interessant find ich auch immerwieder diese vielen ARP Requests. Da liegen auf meinem Netzsegment scheinbar ziemlich viele IP-Netze. So getrennt wie man sich da wünscht scheint das ja nicht zu sein...
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #7
Tja, das wäre wirklich interessant... Zumindest weiß ich jetzt, dass es wahrscheinlich der "Normalfall" ist. Was mich zum Nachforschen brachte war die LED am Modem, die auch dann blinkte, wenn alle Computer (bis auf den Router) aus waren.

Ich habe bei Unitymedia nachgefragt, vielleich bekomme ich sogar eine zufriedenstellende/erklärende Antwort, die ich hier reinstellen könnte.
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #8
Ich habe eine Antwort bekommen, aber der Inhalt... naja, lest selbst:
(...)
wir haben Ihren Anschluss überprüft und konnten keine Fehler feststellen, die das von Ihnen beschriebene Problem verursachen.
Eventuell liegt eine Beeinträchtigung in der Konfiguration Ihres Equipments vor.
(...)
Zum Vergrößern anklicken....
Natürlich mit dem obligatorischen Hinweis auf die 0900-Nummer. Kann man also verschieden interpretieren:
  • Mein Router haluziniert und denkt sich diesen Traffic aus (eher nicht).
  • UM ist nicht in der Lage ihr Netzwerk zu diagnostizieren (wohl auch eher unwahrscheinlich).
  • UM sieht das selbe Verhalten wie ich, es ist ihnen schnurzpiepegal und sie haben keine Lust eine vernünftige Antwort zu schreiben, wie z.B.: "Wir sehen das Verhalten auch, es ist aber kein Fehler."
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #9
Ich interpretiere das so:
"Wir haben keine Ahnung, wovon Sie da reden."

Ein Problem entsteht dadurch ja aber glücklicherweise nicht. Die Bandbreitenlimits sind so großzügig, dass dieser Metatraffic Dich nicht wirklich einschränkt. Ich hab jetzt die Spezifikation von Docsis nicht gelesen, aber ich nehme mal an, dass Broadcast effizient ist. Die Broadcasts von den Clients sind ausserdem nicht sichtbar, was fein ist.
Neben den NACKs gibt es natürlich auch ACKs, und die könnte man enumerieren um benutzte MACs und IP-Adressen zu erhalten. Theoretisch könnte man damit eine MAC über längere Zeit tracken, was z.B. hilfreich ist wenn man bekannte Sicherheitslücken ausnutzen will, etwa vergleichbar mit OS Fingerprinting. ACK auf RENEW ist üblicherweise kein Broadcast, daher eingeschränkt auf Geräte, die auch mal ausgeschaltet werden :)
 
  • Viele DHCP NAKs auf dem Router sichtbar - Normalfall? Beitrag #10
Ja, schon klar. Ich würde nur einer erklärende Antwort bevorzugen statt diesem Textbausteinelement. Aber das Leben ist kein Wunschkonzert. ;)
 
Thema:

Viele DHCP NAKs auf dem Router sichtbar - Normalfall?

Registrieren

Neueste Beiträge

Oben