FB 7270: Ganz viele IP's alive???

[M*I*B]

Hallo ihr lieben,

Vorab: FritzBox 7270 mit FW 54.04.85-17671 an Vodafone BitStream. Im LAN zweite FB 7141.
Wegen einem anderen Problem habe ich mir heute mal den "Advanced IP Scanner v1.5" besorgt und ihn beauftragt, den Bereich 192.168.1.1 bis 192.168.255.255 abzugrasen. Die Box selber hat .111, die zweite Box .122, mein Rechner, von dem ich den Scan gestartet habe, hat .101. Maske ist überall 255.255.255.0

Vollkommen überrascht habe ich festgestellt, das der Scanner ohne Ende in dem o.g. IP- Bereich lebende Hosts gefunden hat
Die angezeigten MAC Adressen sind fast alle vorne immer gleich like 80:F8:00:00:F0:xx, manche bestehen nur aus Nullen einige beginnen immer mit 00:E0:4C:xx:yy, der Rest steht einzeln da.

Die PING- Zeiten liegen fast alle unter 50ms, ein PathPing endet immer an der FritzBox.


Frage: Was ist denn das für eine Nummer??? Das gab es vor ein paar Wochen noch nicht. Ich bin mir deshalb so sicher, weil ich im Zuge der Probleme mit Vodafone (Latenzen, anderer Thread) solche Scans im LAN auch schon vorher oft ausgeführt habe, wenn auch mit einem anderen Tool.

Wäre schön, wenn mich da mal wer schlau machen könnte; mir ist das ein echtes Rätsel...


Nachtrag: Scannender Rechner ohne alles direkt an der Box (keine weiteren Geräte am LAN/Box) ergibt das gleiche Bild

 

[Ecki-No1]

Trenne mal die Internetverbindung und wiederhole den Scan.

 

[M*I*B]

... jo, gemacht: FB stromlos für 15 Sekunden und auch Amtsleitung getrennt. Alles wieder hochgefahren und der Scan zeigt immer noch tausende Hosts an ...

Ich werde mal nachher die 7170 und ggf. die 7141 hernehmen und berichten, was die machen. Sollten die auch so tun, werde ich noch mal die komische EasyBox testen...

 

[3949354]

Kannst Du von dem Ergebnis einen Screenshot einstellen?
Ausser der Box und Deinem Rechner läuft nichts mehr, oder?

 

[Ecki-No1]

Hast Du wirklich mal ohne Internetverbindung gescannt? Das geht aus deiner Antwort nicht eindeutig hervor.

 

[M*I*B]

... so ...
Die 7170 macht genau das gleiche Kann also nicht an der Box liegen. Bei beiden war WLAN deaktiviert (damit nicht dummerweise darüber was kommen kann) und nichts weiter dran, also direkte Verbindung WS an BOX.

Anbei mal ein SS, der für beide Boxen annähren identisch ist. Die IP- ADressen ziehen sich fast ohne Lücke bis zur Scan-Ende- Adresse:

Nachtrag: Ecki... ne, nicht, jetzt verstehe ich erst, was du gemeint hast. Hole ich gleich nach...

Ok, ohne Verbindung zum DSL sind die IP- Adressen auch da, allerdings nicht mehr so viele, sondern nur noch so um die 500 ...

Noch ein Nachtrag: Die EasyBox zeigt das gleiche Verhalten?!?

Nu bin ich ganz durch den Wind...

 

[doc456]

Sag mal, welchen DNS-Server verwendest du?

Und schau mal in deine hosts/lmhosts in system32\drivers\etc

 

[M*I*B]

DNS sind extern jene, die Vodafone vorgibt, also die beiden 195.50.140.246 und 195.50.140.252. Gateway ist 178.3.176.1 (IP = 178.3.191.221)

hosts und lmhosts.sam ist leer (und geschützt). Weitere gleichnamige Dateien gibt es nicht.

 

[mikrogigant]

Die angezeigten MAC Adressen sind fast alle vorne immer gleich like 80:F8:00:00:F0:xx, manche bestehen nur aus Nullen einige beginnen immer mit 00:E0:4C:xx:yy, der Rest steht einzeln da.

Auf http://standards.ieee.org/regauth/oui/index.shtml kannst du herausfinden, zu welchem Hersteller die Adressen gehören. Vielleicht hilft dir das weiter. Du musst auf der Seite die ersten 3 Stellen der MAC-Adresse in der Form aa-bb-cc eingeben (also mit Bindestrich statt Doppelpunkt dazwischen). Zu 80:F8:00 findet die Seite allerdings keinen Eintrag. 00:E0:4C gehört zu Realtek, dürfte also ein Netzwerkadapter o. ä. sein.

Die PING- Zeiten liegen fast alle unter 50ms

Zweistellige Ping-Zeiten weisen darauf hin, dass sich die IPs außerhalb deines LANs befinden (was für private IPs recht eigenartig wäre). Innerhalb des LANs sollten Ping-Zeiten im einstelligen ms-Bereich liegen. Vielleicht bist du vom selben Phänomen betroffen wie es hier beschrieben wurde:
http://www.ip-phone-forum.de/showthread.php?t=217339

Grüßle

Der Mikrogigant

 

[doc456]

@mikrogigant, wenn ich mir die IP und das GW angucke, dann ist es wohl offensichtlich: alles aktive IP's aus dem Vodafone-Netz...

Das hatten wir doch schon mal bei Kabel....

 

[M*I*B]

... da scheinst du nicht ganz falsch zu liegen. Auf Grund deines Hinweises habe ich mal etwas gestöbert und u.a. auch den Bericht von Heise dazu gefunden. Auch die MAC- Adresse des RealTec ist nicht von mir...
Vielleicht hängen auch meine anderen Probleme direkt oder indirekt mit diesem Problem zusammen und die Vodafoner haben es einfach nur noch nicht erkannt; werde ich auf jeden Fall drauf hinweisen!

Heute Nacht werde ich mir mal den Spass machen und den kompletten privaten Bereich abgrasen. Mal sehen wie viele Hosts da tatsächlich hinter stehen..

BTW: Gibt es was besseres oder stabileres als den bisher von mir eingesetzten Advanced IP Scanner? der vom gleichen Coder stammende Advanced LAN Scanner schmirgelt nach kurzer Zeit bei mir ab (WIN7x64).

 

[sparkie]

Heute Nacht werde ich mir mal den Spass machen und den kompletten privaten Bereich abgrasen. Mal sehen wie viele Hosts da tatsächlich hinter stehen..

aber wo ist das Problem? Dein Firewall darf sowieso keine Abhaengkeit davon haben, ob eine IP, die von draussen in dein internes Netz moechte, evenuell aus einem privaten Adress-Bereich stammt.

Drum verstehe ich nicht, wo ueberhaupt ein Problem sein soll.

- sparkie

 

[frank_m24]

Hallo,

Auf Anhieb musste ich an einen Fall denken, den wir vor einiger Zeit mal hatten:

[PROBLEM] ARP overwritten: ALICE routet fremde private IPs über WAN

heise.de: Wenn der Nachbar heimlich mitsurft

Allerdings passt es nicht dazu, dass die IPs auch da sind, wenn die Internetverbindung getrennt ist. Damit scheiden die beschriebenen Fälle eigentlich aus.

Hast du anhand anderer Maßnahmen überprüft, ob du die Hosts erreichen kannst? Ping? SNMP?
Wie sicher bist du dir, dass dein IP-Scanner korrekt arbeitet?

 

[Ecki-No1]

Benutze zum IP-Scannen mal einen anderen Computer/Notebook (auch leihweise).
Wenn bei inaktiver Internetverbindung immer noch fremde IP'S rumgeistern, können die ja schlecht von außen stammen.

Ich habe mal den Advanced IP Scanner getsetet, der findet mir einfach zu viele anpingbare IP's. Setze ich anschließend im DOS-Fenster einen Ping ab, kommt Zeitüberschreitung. Schon seltsam das Tool.

 

[RiVen]

Wie hoch sind denn die Ping-Zeiten?
Man sollte daran unterscheiden können, ob alle Ziele wirklich lokal in deinem Intranet liegen oder nicht.

Hast du irgendwelche Virtualisierungen laufen?

Möglicherweise spinnt auch nur eine LAN-Karte oder ein Switch.

 

[M*I*B]

... zu viele Fragen auf einmal

Wie gesagt liegen fast alle Pingzeiten unterhalb von 50ms. Stichproben mit Tracert gingen bis zur jeweils angeschlossenen Box und beim Versuch, weiter zu gehen, kam kein Response mehr (Sterne..). Dieses Verhalten zeigte sich bei allen getesteten Boxen (7270, 7170, 7141, EasyBox402). Bei anschliessendem Trennen der DSL- Verbindung waren weit weniger IP's vorhanden, aber Stichproben dort ergaben gleiches Ergebnis (interner Cache?).
Interessant dabei ggf. noch, das bei vielen Hosts der Port für POP3 offen ist. Ansonsten aber keine.
Der Versuch mit der aktuellen Beta von DUDE ist gestern mit einem Totalabschmierer meines WIN2k- Servers im Keller beendet worden; derzeit restauriere ich die Festplatten; war nicht mehr bootbar... :/
DUDE scheint auch die Systeme im Intranet so stark zu belasten, das anschliessend z.B. da VoIP der FB nicht mehr funktioniert. Mal sehen, ob ich das reproduzieren kann, wenn die Kiste wieder läuft.

Anderer Scanner? Ok, welchen? Mein bisheriger Lieblingsscanner "ipscan-3.0-beta4" läuft aus unrefindlichen Gründen nicht mehr auf meinem WIN7x64; hat er aber mal... ANdere Vorschläge?

 

[Ecki-No1]

Hast du mal mit einem ganz normalen ping auf die gefundenen alive Adressen geschossen?
Ich traue diesen Advanced IP Scanner nicht über'n Weg.

 

[frank_m24]

Hallo,

Die Sache ist echt mysteriös.

Stichproben mit Tracert gingen bis zur jeweils angeschlossenen Box und beim Versuch, weiter zu gehen, kam kein Response mehr (Sterne..).

Nicht alle Systeme - vor allem im Backbone von DSL-Anbietern - antworten mit ICMP Paketen, wenn sie ein Paket verfallen lassen. Das muss also nichts bedeutet, sondern könnte trotzdem darauf hindeuten, dass die Hosts irgendwo im Internet erreichbar sind.

Interessant dabei ggf. noch, das bei vielen Hosts der Port für POP3 offen ist. Ansonsten aber keine.

Bei vielen Systemen? Also nicht bei allen? Wenn sich alle Systeme exakt gleich verhalten, wäre das eher ein Hinweis auf eine Fehlmessung. Es ist unwahrscheinlich, dass viele Systeme identisch konfiguriert sind.

Anderer Scanner? Ok, welchen? Mein bisheriger Lieblingsscanner "ipscan-3.0-beta4" läuft aus unrefindlichen Gründen nicht mehr auf meinem WIN7x64; hat er aber mal... ANdere Vorschläge?

nmap?

Ich habe gerade auch mal einen Versuch mit dem Advanced IP Scanner durchlaufen lassen. Die Ergebnisse sind plausibel, er findet nur die lokalen Geräte (inkl. der Virtual-Box Netze) und die über VPN erreichbaren Netze. Die Box hängt momentan an einem Vodafone UMTS Stick.

 

[scolopender]

Ich traue diesen Advanced IP Scanner nicht über'n Weg.

Ich auch nicht.
1. Er findet nicht alle aktiven Geräte in meinem LAN.
2. Bei der MAC-Adresse meines Routers zeigt er hartnäckig eine Hausnummer an.

G., -#####o:

 

[M*I*B]

@frank_m24:
Ja, die Ports sind nicht bei allen offen, aber bei den meissten.
Den NMAP habe ich gestern auch noch ausprobiert, aber der fällt auch auf die Nase und mag wohl keine 64bit...

Inzwischen traue ich aber dem Advanced IP Scanner resp Advanced LAN Scanner auch nicht mehr. Beide zeigen sehr ähnliche Ergebnisse.

Ich habe gestern mal noch eine alte Schüssel aus der Ecke gekramt: P300 Dual unter WIN2k Noch gar nicht sooo lange her, wo sowas mal was richtig gutes war..

Auf jeden Fall läuft da mein Lieblingsscanner drauf und der findet diese Phantome nicht, sondern nur wirklich das, was innerhalb des LAN vorhanden ist. Ich werde da nachher noch mal die NetMask auf 255.0.0.0 setzen und schauen, was dann kümmt.

EDIT:
Weder mein Lieblingsscanner, egal mit welcher NetMask, noch TheDude (der jetzt tatsächlich im Client/Serverbetrieb lüppt) finden ähnliches wie Advanced IP Scanner resp Advanced LAN Scanner.
Ist jetzt also die Frage, ob Advanced IP Scanner resp Advanced LAN Scanner einfach besser ist und Wege geht, die die anderen beiden nicht gehen/kennen, oder ob die Engine, die dahinter steckt, einfach nur für die Tonne ist ?!?

EDIT 2:
Seit gestern läuft hier ja "The Dude" rund um die Uhr. Der hat nun tatsächlich doch was gefunden:
192.168.180.1 & 2 Beide Systeme hat er als DNS deklariert. Diese liegen aber garantiert nicht in meinem LAN (mein Lokaler DNS ist .1.100). Das ist auch nicht der von Vodafone zugewiesene DNS ...