Autor Thema: kern.notice in der messages  (Gelesen 3688 mal)

reni

  • Gast
kern.notice in der messages
« am: 21. Januar 2008, 14:29:01 »
Hallo Leute,

seit wir einige Server auf Solaris 10 8/07 gezogen haben, bekommen wir bei genau diesen Servern (alle Sparc) permanent folgende Meldungen in der messages:

Jan 21 01:06:03 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 02:24:10 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 03:06:57 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 04:03:21 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 04:25:03 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 04:35:19 server last message repeated 3 times
Jan 21 06:03:24 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 06:04:15 server last message repeated 2 times
Jan 21 06:25:06 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 06:36:12 server last message repeated 2 times
Jan 21 07:00:39 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 07:32:20 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 09:33:30 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 10:05:10 server ip: [ID 390400 kern.notice] dst AC1C9013 src 7F000001
Jan 21 10:15:26 server last message repeated 2 times

Soweit funktioniert alles ... auch mit dem Netzwerk keine Probleme.
Allerdings "müllen" diese Meldungen die messages ganz schön zu :(

Könnt ihr mir sagen, was ich tun kann?  ::)

PS: Beitrag steht auch hier:
http://www.linuxforen.de/forums/showthread.php?t=247322
« Letzte Änderung: 22. Januar 2008, 15:56:23 von reni »

sonnenblen.de - Das unabhängige Sun User Forum

kern.notice in der messages
« am: 21. Januar 2008, 14:29:01 »

Offline Drusus

  • Sobl Master
  • ****
  • Beiträge: 424
  • Intentionally left blank
Re: kern.notice in der messages
« Antwort #1 am: 22. Januar 2008, 18:11:02 »
Moin,

reichlich daemliches Format fuer eine syslog Message. Diese Meldung besagt, dass du ueber das Netzwerk (nicht lo0) ein Paket empfaengst, dass als Absender 127.0.0.1 (localhost) hat.

Schau mal mit "snoop" nach wer die da die Pakete unterjubeln will. Generell ist die Meldung schon ok und warnt vor solch unsinnigen Paketen (wenngleich sie nur schwer verstaendlich ist).

Tschau,
  Drusus.

p.s.: War nicht so einfach zu finden, da im aktuellen OpenSolaris Code diese Fehlermeldung schon wieder entfernt wurde (und das Paket einfach so stillschweigend verworfen wird).
Code-Change: http://cvs.opensolaris.org/source/diff/onnv/onnv-gate/usr/src/uts/common/inet/ip/ip.c?r2=5577&r1=5455 (am Ende)
Letzter Code mit der Meldung: http://cvs.opensolaris.org/source/xref/onnv/onnv-gate/usr/src/uts/common/inet/ip/ip.c?r=5455#14961

reni

  • Gast
Re: kern.notice in der messages
« Antwort #2 am: 23. Januar 2008, 08:58:06 »
Danke!
Das schau ich mir mal an.

Offline Drusus

  • Sobl Master
  • ****
  • Beiträge: 424
  • Intentionally left blank
Re: kern.notice in der messages
« Antwort #3 am: 23. Januar 2008, 11:49:33 »
Moin,

am einfachsten mit snoop nachsehen woher die Pakete mit localhost (127.0.0.1) als Absender kommen:
# snoop -v host 127.0.0.1
Dann hast du zumindest die Ethernet (MAC) Adresse und kannst damit im Netz weiter nach dem Sender fahnden.

Tschau,
  Drusus.

reni

  • Gast
Re: kern.notice in der messages
« Antwort #4 am: 23. Januar 2008, 14:25:31 »
Vielen Dank!

So bin ich schon ein Stück weiter gekommen.
Weiß allerdings _nur_, dass die Pakete von einem Switch im Haus kommen (Trunk / Ether-Channel)
Tja und an diesem Etagen-Switch hängt natürlich so alles mögliche :(

reni

  • Gast
Re: kern.notice in der messages
« Antwort #5 am: 30. Januar 2008, 12:10:21 »
Zum Stand:

Die Kiste (ein PC) wurde gefunden, die diese Pakete schickte; alle Dienste auf ihr kontrolliert und es gab keinen, der abgeschaltet werden konnte.

Als wir dann versuchten, diese Pakete evt. an der Firewall zu "droppen", hörte der PC auf Pakete dieser Art zu schicken ... seit 2 Tagen gab es nicht mehr eine einzige Meldung in der messages diesbezüglich.
Hm ... seltsam ... aber wir machen uns jetzt mal keinen Kopf mehr darüber ;)

Vielen Dank für die Hilfe!