Poison Nuke

also bei meinem letzten Test mit einem 3750 war es so, dass zwischen den VLANs geroutet wurde und innerhalb der VLANs, auch wenn sie über mehrere Ports gingen, normal geswitched wurde...wäre ja auch normalerweise schon verständlich...beim 6500 hab ich da nicht viel anders eingestellt. Das routing auf dem kann ich aber auch nicht abschalten, da läuft "nebenbei" noch ein bissle was :D

aber auch wenn es nur zwischen mehreren 2960 ist, irgendwie haut das nicht so ganz hin, z.B. kommt dann beim dest raus, dass der Host am gi0/1 vom nächsten Switch hängt, aber da ist der Uplink zum 6500 und der Host hängt eigentlich am fa0/10.

Source stimmt wenigstens, die hängt ja auch an dem Switch, von dem aus ich das mache.

ah, danke :)

obwohl ich das gerade fürn PC eher gesucht hatte, aber so geht es auch, vorallem ist das doch etwas umständlich...kann der Befehl nich einfach vom Switch ausgehend arbeiten.

vorallem funktioniert das irgendwie nichtmal so wirklich, ich hab gerade einen Endrechner über traceroute mac ip versucht zu finden, die IP löst er erfolgreich in eine Mac auf, nur er ist der Meinung, der Rechner wäre an ihm angeschlossen, dabei ist hier definitiv noch ein 6500 Switch und hinter dem noch ein 2960 dazwischen, die angezeigt werden sollten. Wenn ich die Mac aber direkt eingebe vom Ziel, dann findet er diese nichtmal. Und im gleichen VLAN sind sie auch drin...eigenwillig.

Auch wenn ich als Dource und Dest die Macs von den jeweiligen Switchen eingebe, funktioniert das nich so richtig.

gibt es sowas auch wirklich nicht für Windows? Weil von Endpunkt zu Endpunkt wäre mir das schon irgendwie lieber.

Hallo,

ich habe hier ein kleines Testnetzwerk mit einigen 2960 und einer recht umfangreichen Verkabelung usw um STP, Portchannel uvm ein wenig zu testen.

nun würde ich gerne wissen, welche Wege die Pakete über die Switche nehmen...also sowas wie ein traceroute, nur dass es hier ja auf layer 2 stattfindet. Gibt es da eine Möglichkeit?

es kann schon helfen, wenn man die Auslagerungsdatei auf eine feste Größe einstellt, damit sie nicht fragmentiert wird. Also am besten Anfangswert und Endwert auf 4096 MB einstellen. Und da Windows die aktuell sicher schon fragmentiert hat, am besten erstmal komplett deaktivieren, damit sie gelöscht wird und dann sie wieder neu einstellen (bei 2gig könnte man, wenn die Auslastung nicht allzuhoch geht, auch ohne arbeiten, aber würde ich nicht empfehlen).

Zudem Zugriffe auf die Festplatte auch von anderen Diensten kommen können. Indexdienst, Volumenschattenkopien, Systemwiederherstellung usw.

Und eventuell gar Programme die im Hintergrund laufen, die man aber gar nicht braucht. Autostart und Systemdienste optimieren kann da schon einiges bewirken.

Und das defragmentieren der HDD auch, wenn diese eventuell schon einige Zeit benutzt wird.

MÜSSEN die SATA-Raid-Treiber vorher ins OS eingebunden werden, damit dann beim Hochfahren die Platten im SATA-RAID erkannt werden?

Müssen, definitiv ja. Wie zahni sagte, am besten in das alte System einbauen und die Treiber installieren lassen. Aber das funktioniert aus Erfahrung auch nicht immer. falls schon vor dem Windows Logo ein BlueScreen kommt, dann wird es schwer, ab und an kann der abgesicherte Modus noch helfen, manchmal gibts aber auch Konfigurationen, da gehts irgendwie gar nicht so recht :(

das kann vieles sein. Netzteil, Mainboard, RAM, CPU (die eher weniger).

soviel wie möglich ausbauen und eventuell tauschen gegen kompatible Hardware. Kann eventuell auch nur ein vergessener Stecker oder ein schlechter Kontakt oder so sein.

ging der REchner denn mal und wurde seit dem nix verändert an der Hardware?

hab auch schon den offiziellen Treiber von der Realtekseite geladen, das gleiche :(

werd ich wohl doch ein paar ordentliche NICs organisieren müssen.

wird die Platte überhaupt noch erkannt, wenn du sie onboard anschließt?

kann auch sein dass es sie beim Formatieren zerschossen hatte...hab gestern erst den Fall gehabt, da zeigte Acronis (nachdem die Platte in Windows formatiert wurde), 2TB verfügbaren Speicher auf einer laut Acronis gesamt 660GB großen Platte an, und dabei war es real eine 200GB Platte. Diese konnte auch nicht mehr korrekt gelesen werden.

Everest Ultimate bietet auch noch einige Infos an, vllt weiß das mehr über deinen Controller.

Hallo,

wollte mir testweise einen weiteren NLB Cluster mit Win2k3 Std aufsetzen, es sind aber halt zum testen einfache Rechner mit RTL8139 Netzwerkkarten, weil die gerade vorhanden sind und nicht gebraucht werden.

Nur im NLBMgr wird der halt nicht fertig mit converging, bzw zeigt teilweise erst gar nicht die anderen Nodes an und diese sind auch gar nicht mehr über das Clusterinterface erreichbar.

Über WLBS display seh ich dann diese Meldung:

NLB Cluster 172.16.0.5 : The network adapter to which NLB is bound does not supp

ort NDIS packet indications, which is commonly caused by outdated NIC hardware a

nd/or drivers. In order to properly load-balance incoming load, NLB requires th

at adapters support NDIS packet indications.

000C0000 005A0004 00000000 C0070052 00000000 00000000 00000000 00000000

00000000 00000000 000403D7 00000000 00000000

liegt es nur am Treiber oder können die Realteks das wirlich nicht?

er hostet bei einem Webhoster, d.h. er selbst kommt nichtmal an seinen Server physikalisch ran...Hardwarefirewall wäre möglich muss dann aber mit dem Provider abgesprochen werden (eigene Firewall stellen).

und wie gesagt, zeig mir bitte mal eine bezahlbare Firewalllösung, die bis zu mehreren GBbit pro Sekunde an Traffic blocken kann, ohne selbst in die Asche zu gehen.

im bezahlbaren Bereich (maximal kleinerer 4stelliger Bereich) die Lösungen haben dann einfach einen Load von weit über 1 und das ist dann auch wie ein Disconnect. Aber ok, dem Server dahinter passiert wenigstens nichts :D

Der Provider sorgt ja dafür, dass ein Grobschutz besteht, dieser muss aber auch einen gewissen Schwellwert haben, und damit kann halt schon recht viel von einer Attacke in der Anfangsphase noch zum Server durchkommen.

boah, super Tipp

das scheint wirklich perfekt zu sein, vorallem weil wir dann endlich auch alle Daten in einem SAN speichern könnten.

gibt es sogar direkt von Microsoft:

Download details: Remote Desktop Connection Client 1.0.3 for Mac

:)

Ausser du willst VSS zwischen zwei 6500ern (SUP720-10G) machen.

Dann musst du PAgP+.

hab mich mit VSS noch nicht auseinandergesetzt bisher, aber ist das nur ein Clustering der Switche oder könnte man damit auch ein Failover erreichen, wenn sämtliche Verbindungen zu den Switchen doppelt ausgelegt wären?

weil im Moment läuft noch ein 20G Etherchannel zwischen unseren 6500er. Wäre aber schon sehr interessant.

ich freu mich schon auf Montag...haben diese Platten in ca. 20 unserer Workstations drin und da meist auch gleich 2-4 Stk.... na toll, da dachte man sich mal, da kauft man zuverlässige Platten ein und dann sowas.

BTW: Warum habt ihr denn einen Haufen Zonenupdates. Ich habe auch mal im Webhosting gearbeitet. Bei uns waren die Zonen eigentlich sehr statisch.

:)

also pro Tag gehen teilweise schon bis zu 100 Kundenaufträge und mehr raus und für jeden dieser Server oder Hosts wird dann gleich mit ein Eintrag im DNS erstellt, damit dieser aufgelöst werden kann. Ohne primären DNS laufen diese Updates dann natürlich ins Leere und müssten nachträglich manuell abgeglichen werden.

Und AD für so eine Sache gefällt mir persönlich auch nicht so ganz, weil wäre ja doch eine gewisse Zweckentfremdung. Zudem ich mit AD noch nicht so in dem Umfang gearbeitet habe...würde da wirklich jeder DNS Server Updates entgebennehmen können und an jeden anderen DNS Server weiterleiten?

Weil ich kenn AD auch nur mit einem primären DC und dann weitere sekundäre DCs

hab grad testweise einen NLB Cluster aufgesetzt, aber musste dann erstmal feststellen, dass der Windows DNS Server ja gar keine Möglichkeit bietet, dass man eine externe Datenbank oder so nutzt. Also man müsste einen primären DNS einrichten und über das Cluternetzwerk dann alle anderen Nodes als sekundäre einrichten...nur wenn der primäre ausfällt, dann müsste man für einen möglichst kurzen Failover (es kommen ja regelmäßig Zonenupdates rein) einen der sekundären zum primären erklären aber dann müssten auch alle anderen sekundären DNS umgestellt werden und eh das wieder synchron läuft, dauert ja auch ne Weile (nagut, geht wohl immernoch schneller als der Ersatz des primären)

Gäbe es keine Möglichkeit, alle DNS Server als primäre Server zu konfigurieren und dass diese sich trotzdem gegenseitig synchronisieren?

WLAN an sich ist ja auch nix anderes wie LAN nur ohne Kabel ;)

solang die Verbindung stabil ist verhält sich alles so als wäre der Server per Kabel angeschlossen wo auch immer dein AccessPoint angeschlossen ist.

natoll, diese info hat auch jeder ....

das man dir immer alles aus der Nase ziehen muss :D

willst du mich irgendwie rollen? :suspect: ?

RDP ist RDP und hat mit der Konsolensitzung nichts zu tun! Es gehen zwei RDP Sitzungen gesamt...mehr geht nicht. Konsole ist Konsole und hat in dieser Hinsicht einfach nix mit RDP zu tun, es nutzt ja nichtmal den RDP client und wenn der Terminal Dienst deaktiviert ist, dann kannst lange versuchen auf Port 3389 zu verbinden, der ist nämclih dann geschlossen :D ;)

????

lustig nur, dass RDP nicht mehr verfügbar ist, wenn man die Terminal Dienste deaktiviert aber Konsole geht immernoch ;)

(wäre ja auch echt **** :D)

diese Lösung muss man sich aber erstmal leisten können ;)

vorallem da es hier um einen Server geht, der bei einem Webhoster steht, also der Threadersteller selbst hat nichtmal direkten Zugriff auf den Server. Es steht also in der Pflicht des Providers, da für eine Absicherung zu sorgen, welche natürlich nicht perfekt funktionieren KANN.

Und die Firewall muss auch erstmal den Traffic verarbeiten können, möchte mal so ne Hardwarefirewall sehen, wenn die reale 1GBit oder mehr an Traffic prüfen, verarbeiten und blocken usw muss.

Da verrecken definitiv auch die meisten Hardwarefirewalls irgendwann, wenn es nicht gerade die extrem guten Lösungen sind, wo man dann aber auch mal locker seine 20k€ los wird.

gibt es Firewalls mittlerweile, die das zuverlässig erkennen? Mir selbst ist noch keine untergekommen. Zudem das nur die Sicherheit des Servers schützt, dass bei der Attacke kein Eindringen in den server möglich ist.

Aber der Load vom Netzwerk belastet den Server so oder so und wird ihn früher oder später in die Knie zwingen, egal ob die Firewall die Pakete blockt oder nicht.

ja schon, aber nicht über RDP :D

schreiben wir einfach, es sind ohne TS nur 3 Sessions möglich, wobei remote nicht mehr als 2 möglich sind ;)

Konsole ist ja kein RDP, also ist meine Aussage auch nicht falsch :D ;)

Hallo,

 

Patches habe ich nicht eingespielt.

Ja ich habe mein Provider informiert "Keyweb Ag" aber Sie helfen nicht.

 

Sie sagen nur , .

das Blocken der Angreifer IP's ist auf Grund der Anzahl leider nicht möglich.

Sie haben hier nur die Möglichkeit Ihre Domain auf die 2. IP zuschalten.

das ist auch leider nicht so einfach, bei sowas zu helfen. der provider kann dann leider nur die IP des Servers sperren, der angegriffen wird, was automatisch passiert, sobald die Paketzahl zu schnell ansteigt. Die Angreifer IPs zu sperren ist nicht möglich.

Und leider kann man seinen Server auch nur schwer immun gegen einen Flood oder DDos oder so machen, wenn eine gezielte DDoS Attacke kommt, geht JEDER Server in die Knie, wenn nicht vorher Schutzmechanismen im Netzwerk diesen Angriff vom Server abhalten. Aber auch da ist es schwer für den Provider zu erkennen, WANN ein Angriff erfolgt, weil nicht jeder Anstrieg der Paketanzahl ist gleich eine Attacke.

Wenn man Ziel einer Attacke ist, wäre eine Option noch, zu versuchen einen Angreifer zu identifizieren, indem man auf dem betroffenden Server ein TCPDump oder Wireshark oder sowas in der Art mitlaufen lässt und wenn ein Angriff stattfindet (erkennt man am massiven Auftreten einzelner IPs mit ähnlichen Anfragen), dass man dann diese IPs zurückverfolgt (tracert) und unter Umständen kommen mehrere von ihnen aus einem größeren anderen Netzwerk, sodass man einen Anhaltspunkt hätte.