Hallo zusammen,

in einem grösseren LAN mit vielen Switches in vielen Gebäuden ist irgendein
Switch falsch konfiguriert. Ich bekomme massenweise STP-Pakete. Leider
weiss ich nicht, welcher Switch das ist. Die MAC-Adresse verrät mir, dass
der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass ich etwas
von Goldstar besitze. Kann es ausser Switches noch Geräte geben, die STP
nutzen (Printserver, PCs, Kopierer...)?

Chris

Chris Leick <cerberus_99_99@yahoo.de> wrote:

>Die MAC-Adresse verrät mir, dass
>der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass ich etwas
>von Goldstar besitze.

Irgendein switch, den ein Mitarbeiter hinter'n Tisch geschmissen hat,
um noch einen Rechner 'ranzuklemmen?


-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Ralph A. Schmid, dk5ras wrote:
> Chris Leick wrote:
>
>>Die MAC-Adresse verrät mir, dass
>>der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass ich etwas
>>von Goldstar besitze.
>
> Irgendein switch, den ein Mitarbeiter hinter'n Tisch geschmissen hat,
> um noch einen Rechner 'ranzuklemmen?

Das wäre ein Grund mehr das Ding aufzuspüren. Leider weiss ich nicht wie. Im
lokalen Netz gibt es leider kein traceroute. Oder kennt jemand ein Tool,
mit dem man feststellen kann hinter welchem anderen Switch der Bösewicht
hängt?

Chris

Chris Leick <cerberus_99_99@yahoo.de> writes:

> Das wäre ein Grund mehr das Ding aufzuspüren. Leider weiss ich nicht wie. Im
> lokalen Netz gibt es leider kein traceroute. Oder kennt jemand ein Tool,
> mit dem man feststellen kann hinter welchem anderen Switch der Bösewicht
> hängt?

Bei Cisco wuerde ich auf allen Switchen die ich unter Kontrolle habe auf
den Access-Ports "spanning-tree bpduguard enable" konfigurieren und
schauen wer sich beschwert.

Wahrscheinlich haben einige andere grosse Hersteller aehnlich
Funktionen.

Jens
--
Linux-Kongress 2008 in Hamburg: http://www.linux-kongress.org/
sage@guug Berlin: http://www.guug.de/lokal/berlin/index.html

Chris Leick schrieb:

>Das wäre ein Grund mehr das Ding aufzuspüren. Leider weiss ich nicht wie. Im
>lokalen Netz gibt es leider kein traceroute. Oder kennt jemand ein Tool,
>mit dem man feststellen kann hinter welchem anderen Switch der Bösewicht
>hängt?

Traceroute würde Dir nichts nützen, Du suchst ja keine IP- sondern
eine Mac-Adresse. Aber auch ohne Tool sollte das gehen. Bei
managebaren Switchen kann man sich doch die an den Ports ankommenden
Mac-Adressen anzeigen lassen und so den Weg zum Übeltäter verfolgen.

Gruß Willi

On 2008-09-29, Chris Leick <cerberus_99_99@yahoo.de> wrote:
> Ralph A. Schmid, dk5ras wrote:
>> Chris Leick wrote:
>>
>>>Die MAC-Adresse verrät mir, dass
>>>der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass ich etwas
>>>von Goldstar besitze.
>>
>> Irgendein switch, den ein Mitarbeiter hinter'n Tisch geschmissen hat,
>> um noch einen Rechner 'ranzuklemmen?
>
> Das wäre ein Grund mehr das Ding aufzuspüren. Leider weiss ich nicht wie. Im
> lokalen Netz gibt es leider kein traceroute. Oder kennt jemand ein Tool,
> mit dem man feststellen kann hinter welchem anderen Switch der Bösewicht
> hängt?

Wenn das Geräte eine MAC-Adresse hat und damit Frames versendet,
dann muss die MAC-Adresse doch auf einem der anderen Switches in einer
der MAC-zu-Port-Tabellen auftauchen.
Dann einfach schauen, was an dem Port angeschlossen ist.

Grüße,

Florian

Chris Leick wrote:
> in einem grösseren LAN mit vielen Switches in vielen Gebäuden ist irgendein
> Switch falsch konfiguriert. Ich bekomme massenweise STP-Pakete. Leider
> weiss ich nicht, welcher Switch das ist. Die MAC-Adresse verrät mir, dass
> der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass ich etwas
> von Goldstar besitze. Kann es ausser Switches noch Geräte geben, die STP
> nutzen (Printserver, PCs, Kopierer...)?

Da wird wohl einer Deiner lieben User einen Miniswitch eingeschleift
haben. Findest Du am ehesten, indem Du die CAM-Tables Deiner Switches
durchsiehst. Vorher evtl. im ARP-Cache des/der Router nachsehen,
vielleicht hat das Ding sogar 'ne IP-Adresse bekommen, das erleichtert
die Suche ungemein. :-)
--


CU Christoph Maercker.

Christoph Maercker wrote:
> Chris Leick wrote:
>> in einem grösseren LAN mit vielen Switches in vielen Gebäuden ist
>> irgendein Switch falsch konfiguriert. Ich bekomme massenweise STP-Pakete.
>> Leider weiss ich nicht, welcher Switch das ist. Die MAC-Adresse verrät
>> mir, dass der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass
>> ich etwas von Goldstar besitze. Kann es ausser Switches noch Geräte
>> geben, die STP nutzen (Printserver, PCs, Kopierer...)?
>
> Da wird wohl einer Deiner lieben User einen Miniswitch eingeschleift
> haben. Findest Du am ehesten, indem Du die CAM-Tables Deiner Switches
> durchsiehst.

Wie geht das? Bei meinen Switches kenne ich keine Möglichkeit der
Konfiguration. Die haben selbst keine IP.

> Vorher evtl. im ARP-Cache des/der Router nachsehen,
> vielleicht hat das Ding sogar 'ne IP-Adresse bekommen, das erleichtert
> die Suche ungemein. :-)

Wahrscheinlich nicht. Die hätte mir Wireshark angezeigt.

Chris

Florian Laws wrote:

> Wenn das Geräte eine MAC-Adresse hat und damit Frames versendet,
> dann muss die MAC-Adresse doch auf einem der anderen Switches in einer
> der MAC-zu-Port-Tabellen auftauchen.
> Dann einfach schauen, was an dem Port angeschlossen ist.

Wie kann man diese "MAC-zu-Port-Tabellen" auslesen?

Chris

Chris Leick <cerberus_99_99@yahoo.de> wrote:
> Christoph Maercker wrote:
>> Chris Leick wrote:
>>> in einem grösseren LAN mit vielen Switches in vielen Gebäuden ist
>>> irgendein Switch falsch konfiguriert. Ich bekomme massenweise STP-Pakete.
>>> Leider weiss ich nicht, welcher Switch das ist. Die MAC-Adresse verrät
>>> mir, dass der Hersteller Goldstar ist, allerdings wüsste ich nicht, dass
>>> ich etwas von Goldstar besitze. Kann es ausser Switches noch Geräte
>>> geben, die STP nutzen (Printserver, PCs, Kopierer...)?
>>
>> Da wird wohl einer Deiner lieben User einen Miniswitch eingeschleift
>> haben. Findest Du am ehesten, indem Du die CAM-Tables Deiner Switches
>> durchsiehst.

> Wie geht das? Bei meinen Switches kenne ich keine Möglichkeit der
> Konfiguration. Die haben selbst keine IP.

Dann hast du verloren. (Wo bitte gibt es Switches mit STP aber ohne
Konfigurations-Interface?)

S°

--
Sig lost. Core dumped.