Off-topic Verursacher von störendem Netzwerk-Verkehr finden

Hallo,
komplett of-topic aber vielleicht kann mir jemand helfen.
Seit heute geistert bei uns ein 10.42er Netz im Haus herum und verursacht reichlich Last auf der Firewall.
Wir bekommen bis jetzt den Verursacher nicht gegriffen und wollen auch nicht klassisch nach und nach Stecker ziehen sofern wir später auf den Switchen nicht noch was finden.
Was wir wissen:
1)
10.42.0.0 wird im Rancherumfeld genutzt. Unsere Umgebung die in kontrolliere ist nicht die Ursachen
2)
Es wird immer Port 8500 angesprochen. Der wird häufig im Zusammenhang mit Consul genannt.
3)
Wir sehen in einem Trafficdump reichlich Infos aber nur die 10er IPs ankommend und abgehend.
4)
Unser Verdacht geht in die Richtung das ein Entwickler eine lokale Docker-Installation unglücklich konfiguriert laufen hat.
Hat jemand Tips ob und wie wir in den Dumps doch noch das Quellsystem identifizieren können.
Die 10er IP sind von aussen ja nicht erreichbar und der Host reicht vermutlich einfach transparent durch.
Ist eigentlich nicht mein Aufgabenbereich aber dank Urlaubszeit bin ich mit im Spiel.
Danke
Ralf

Hallo Ralf,
wie wäre es mit ntop?
Können Dir eine Testlizenz zur Verfügung stellen.
VG
Elias

Hallo,
ich versuche morgen erst mal was mir Logfiles der Switche mir ggf. liefern können.
Ntop wäre eine Überlegung (eher Versuchung) aber ein späterer Kauf ist defacto mangels Budget nicht möglich. Wäre also nicht ok damit zu arbeiten.
Abgesehen davon muss ich eine grundsätzliche Lösung für den Fall finden das dieses Problem wieder auftaucht
Gruß und Danke für das Angebot.
Ralf

In dem Fall sollte die Recherche gucken, an welchem Switch-Port die MAC-Adresse zu dieser IP als erstes aufschlägt.

So,
die Kollegen sind dabei das Thema zu klären.
Habe mit noch ein ntop in der Opensource-Version installiert aber auch damit ist nichts ermittelbar.
Wir müssten uns vermutlich direkt vor die Firewall hängen um was zu sehen aber da unser Dienstleister in einem Dump auf der Firewall auch nichts gefunden hat können wir uns die Mühe wohl sparen.
Da können die Kollegen jetzt Hänsel und Gretel spielen und den Brotkrumen folgen.
Gruß

Ok,
ein Kollege hat die Systeme über den passenden Port auf dem Switch identifiziert.
In einem Kubernetes-Testcluster war Longhorn auf Port 8500 unterwegs. Warum das aber Einschläge auf der Firewall verursacht hat muss noch geklärt werden.
Danke für alle Tips

1 Like