/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Invalid arp entries i NT4.0
Fra : Claus Norrbohm


Dato : 10-06-03 13:10

Et irriternede problem, som jeg ikke kan identificere:

Et lille 5 noders netværk, bestående af 1 SonicWall / 3 MS-DOS PC'er / 1
NT4 workstation, forbundet via en lille ethernet hub.

NT boxen er filserver, for de 3 DOS maskiner der kører en "legacy" DOS
applikation. Applikationen checker hele tiden, om en fil <foo.txt>
eksisterer på NT serveren, for at verificere at den har net forbindelse.

Via Ethereal har jeg se trafikken, som har følgende mønster:

337.26 dos1 -> nt SMB Query Information Request, Path: \foo.txt
337.26 nt -> dos1 SMB Query Information Response
337.36 dos1 -> nt TCP 38462 > 139 [ACK]
339.64 dos1 -> nt SMB Query Information Request, Path: \foo.txt
339.64 nt -> dos1 SMB Query Information Response
339.73 dos1 -> nt TCP 38462 > 139 [ACK]
osv osv...

Når det går galt (hvilket typisk sker efter et par dage efter reboot) er
mønsteret:

410.74 dos1 -> nt SMB Query Information Request, Path: \foo.txt
410.74 nt -> dos1 SMB Query Information Response
410.85 dos1 -> nt TCP 38462 > 139 [ACK]
440.07 dos1 -> nt SMB Query Information Request, Path: \foo.txt
440.40 dos1 -> nt SMB Query Information Request, Path: \foo.txt
440.78 dos1 -> nt SMB Query Information Request, Path: \foo.txt
440.78 dos1 -> nt SMB Query Information Request, Path: \foo.txt
440.78 dos1 -> nt SMB Query Information Request, Path: \foo.txt
osv osv...

I de manglende 30 sek. er der ingen kommunikation, og laver man en
"arp -a" på nt boxen fås følgende (anonymiseret):

Brugerflade: <NT.IP> on Interface 2
Internet-adresse Fysisk adresse Type
<SonicWall.IP> 00-ÆÆ-ÅÅ-ØØ-d0-d3 dynamisk
<DOS1.IP> 00-00-00-00-00-00 ugyldig
<DOS2.IP> 00-XX-YY-ZZ-0e-23 dynamisk

Indlægger jeg statiske arp entries opstår problemet ikke !!!
Jeg kan trick'ke problemet, ved at scanne en DOS maskine via nmap:

nmap -sT -n -P0 -p 130-160 <DOS.IP>

Vupti, så er der en invalid arp entry i NT boxen. Tager jeg og ændrer i
c:\net\tcputils.ini (numSockets=16 i stedet for default 4), på DOS
maskinen - så kan jeg ikke trick'ke problemet via scan med nmap.

Jeg tror, at der en skjult "feature" i NT boxen, der sætter en arp entry
invalid hvis, der er problemer i SMB protokollen.

Jeg er klar over, at der er problemer med Windows og arp, hvis der er
sammenfald af ip adresser eller mac adresser på et netværk - men disse
forekommer ikke i mit trace.

Er der nogen der har en forklaring, eller har oplevet at en NT box
pludselig laver invalid arp entries midt i en SMB kommunikation.


MVH, james (a) type-this.com


 
 
Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste