"Sinnlose" Arp-Broadcasts

[Deathcore]

Guten Morgen liebes CB-Volk

Ich habe hier ein sehr komisches Problem im Netz. Und zwar sendet ein Windows Server 2003 R2 ständig ARP-Broadcasts.

1197	19.672274	6e:c0:42:d2:xx:xx	Broadcast	ARP	Who has xxx.xx.213.22?  Tell 128.2.xx.xx

Das merkwürdige daran ist, die gesuchten Addressen existieren nicht (und waren laut Liste nie vergeben) und somit kann auch niemand auf die Anfrage antworten!

Den Arp-Cache des Servers habe ich nun schon mehrfach geleert. Habe die Reg und das Filesystem schon nach den IPs durchsucht, aber ohne Erfolg

Auf dem Server laufen mehrere Dienste z.b. Apache mysql ....

Mein Problem ist nun herauszufinden welcher Dienst mit diesen Adressen reden will und warum? Kennt jemand dafür ein Tool?

So liebe Experten dann mal her mit euren Ideen! DANKE!

 

[AK_MK_FG]

der server fragt nur gezielt nach diesen von dir im beispiel beschrieben IPs oder sind es mehrere bzw sogar ein ganzer bereich?

 

[Deathcore]

Es sind mehrere meistens um die 16 hintereinander (Wireshark).

Ca folgendes Muster( Auszug)

xx.xx.213.11
xx.xx.213.37
xx.xx.213.20
xx.xx.213.21
xx.xx.213.22
xx.xx.213.23
xx.xx.213.24
xx.xx.213.29

Bis jetzt aber immer 213 im 3 Oktett.

 

[eightcore]

Kannst du eine der IP-Adressen, die er arpen will, real vergeben, sodass er einen Zielhost findet? Falls ja:

Lade und starte Process Monitor auf dem Server. Füge einen neuen Filtereintrag hinzu, sodass nur noch Einträge mit Event Class "Network" gelistet werden.

Falls dann der Server den Zielhost finden und ihm via TCP/UDP Sachen zusendet, würdest du das im Process Monitor sehen inklusive mit der Angabe, welches Programm den Traffic verursacht.

 

[Deathcore]

Danke dir! Ich habe die Ursache gefunden

ist ein monitoring service von unserem Storage Anbieter. Dort werde ich mal ein Call aufmachen.

Closed!