Philon Terving <philon(at)macnews.de> wrote:
> die fragwürdigen ca 600 MB kommen sicher nicht von ICMP, auch wenn Ntop
> hier noch 170 MB für ARP listet.
Huch. Nochmals die Frage: Über welchen Zeitraum?!? Über
10 Jahre wär's nicht so viel, über eine Tag wär's sehr viel.
> Nachgeprüft mit tcpdump macht der
> Router hier im Subnet ja mehrmals die Sekunde arplookups, ist das normal?
Nein, das ist nicht normal. ARP-Lookups muß er für alle
IPs im lokalen Subnetz (d.h. in der Broadcast-Domain)
machen, und die Ergebnisse werden gecacht -- typischer-
weise für 20 Minuten.
Wenn der Router in Deinem Netz ständig mehrere ARP-Lookups
pro Sekunde macht, würde ich sagen, daß es da ein ernst-
haftes Problem gibt.
> Ntop arbeitet aber auch im promiscuous (gibts das Wort nich einfacher?)
> mode und anscheinend loggt es da auch Traffic mit der zwischen anderen
> Hosts passiert (auch wo mein Rechner doch kein Router ist).
Nunja, im promiscuous-mode sieht er halt alle Pakete, die
an Deinem Interface vorbeikommen, egal, ob Dein Rechner
irgendwas damit anfangen kann.
Wenn z.B. der MAC-Table im Switch überläuft, oder wenn der
Switch fehlkonfiguriert ist, kann es passieren, daß er nur
noch (als Fallback) alle Pakete an alle Ports repliziert,
quasi wie ein besserer Hub. Dann sehen alle Rechner alle
Pakete für alle anderen Rechner im Netz.
> Egal wie
> scheint es ja vom ISP ins Accounting zu gehen und mir in Rechnung
> gestellt zu werden, was mir nicht wirklich Recht ist.
> [...]
> > [promiscuous mode]
> > Wenn er eingeschaltet ist, siehst Du allen Traffic, der
> > physikalisch Dein Interface »berührt«, egal ob er für Dei-
> > nen Rechner bestimmt ist oder nicht.
>
> Hm, wo ich mich wieder frage was der ISP ins Accounting nimmt, eben
> diese physikalischen Berührungen?
Da müßtest Du Deinen ISP fragen. Vermutlich wird er die
Interface-Counter der Switch-Ports hernehmen (das ist zu-
mindest das einfachste) -- dann werden Dir tatsächlich die
»physikalischen Berührungen« in Rechnung gestellt.
Die nächstbeste Möglichkeit wäre, daß Dein ISP auf dem
Router die Pakete von/zu Deiner IP zählt (ähnlich wie man
es z.B. mit IPFW-Rules machen könnte). Dann würde Dir nur
der Traffic in Rechnung gestellt, der tatsächlich für Dei-
nen Rechner bestimmt ist oder von ihm verursacht wurde.
Aber da das aufwendiger ist und mehr Overhead hat (und am
Ende kleinere Zahlen und daher weniger Gewinn für den ISP
bedeutet), halte ich das für unwahrscheinlich.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. (On the statement print "42 monkeys" + "1 snake":) By the way, both perl and Python get this wrong. Perl gives 43 and Python gives "42 monkeys1 snake", when the answer is clearly "41 monkeys and 1 fat snake". -- Jim Fulton To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 14 Jul 2004 - 14:15:58 CEST