Verschiedene Ursachen können dazu führen, dass zwei IP-Pakete des selben Absenders identisch sind - obwohl dies niemals der Fall sein dürfte.
Der IP-Paket-Header enthält eine laufende Paket-Nummer, "Packet ID" bzw. "Identification" genannt.
Der IP-Treiber des Absenders ist gehalten, Paket für Paket die laufende Nummer um 1 zu erhöhen.
Folglich dürfte, sofern diese Vorschrift beachtet wird, kein IP-Paket des selben Absenders dem voran gegangenen oder folgenden gleichen. Nur über die große Zahl von 0xFFFF bzw. 65.5535 Paketen (die IP-Packet-ID ist ein 16-bit-Ausdruck / WORD) darf es zur Wiederholung der IP-Packet-ID kommen (und selbst dann werden andere Merkmale wie IP-Empfänger-Adresse und IP-Prüfsumme abweichen).
TraceMagic prüft alle IP-Pakete eines jeden IP-Senders auf Paket-Dopplungen bzw. auf Paket-Identität.
Es gibt im Allgemeinen folgende Möglichkeiten, die zur Dopplung von IP-Paketen in der Aufzeichnung führen können:
- Der Absender hat ein IP-Paket (bzw. IP-Header) mehrfach versendet. - Der Absender hat zwar verschiedene Daten versendet, aber über identische IP-Header. - Ein Switch/Router hat IP-Pakete doppelt weiter gegeben (1 x Rx, 2 x Tx). - IP-Helper bzw. Broadcast/Multicast-Regeln auf Routern führen zur Verdopplung. - Die Konfiguration des Switch/Router Mirror-Ports führt zur doppelten Paket-Ausgabe.
Dies kommt gelegentlich vor bei ICMP-Paketen ("Ping") oder bei Paketen, die von Netzwerk- Management- Programmen versendet werden (z.B. SNMP).
Sollten diese IP-Pakete auf dem Weg zum Empfänger durch IP Fragmentation zerlegt werden, könnten die Fragmente ggf. nicht mehr korrekt zusammen gelegt werden, da das unentbehrliche Unterscheidungsmerkmal (die fortlaufende IP-Paket-Nummer) fehlt.
Einige Applikationen haben die Angewohntheit, sämtliche IP-Packet-IDs auf NULL zu setzen; dies ist auf Grund der genannten Gegebenheiten der IP Fragmentation sehr bedenklich.
[ 1] /# 5 :: 192.168.112.25 << 192.168.112.1 :: IP Hdr.Dupl./ID set to 0=ZERO [TTL= 64-> 64] [MAC=00040EAA0DFC] [ID= 0] (packet ID is set to ZERO in both packets; poss. name service packets) :: · :: * :: (Related Frame |<-\ ) :: \ [ 1] \# 17 :: 192.168.112.25 << 192.168.112.1 :: IP Hdr.Dupl./ID set to 0=ZERO [TTL= 64-> 64] [MAC=00040EAA0DFC] [ID= 0] [TCP / Ports: 55802 << 49000] :: · :: * :: (Current Frame \*|) :: /
Es kann durchaus gewollt sein, dass/wenn DHCP-Pakete, die als Broadcast versendet werden, von allen Routern weiter geleitet werden.
In diesem Falle kommt im Ziel-Subnetz das DHCP-Paket doppelt an, wobei sich die Absender- MAC-Adressen unterscheiden, insofern die zwei Instanzen des selben DHCP-Paketes von zwei verschiedenen Router-MAC-Interfaces verschickt wurden.
Sollten bei Redundanz-Schaltungen doppelt ausgelegter Switches/Router doppelte IP-Pakete außerhalb "legaler" Pakete (wie DHCP) vorkommen, könnte dies ein Zeichen dafür sein, dass zeitweilig zwei Leitungen gleichzeitig offen waren (obwohl dies ggf nicht sein sollte, obwohl also ggf eine OFFEN und die andere GEBLOCKT sein sollte).
Wird z.B. ein gesamtes VLAN ausgespiegelt bzw. werden mehrere Switch-Ports zum Mirror-Port hin ausgegeben, so wird die Ausgabe von Paketen verdoppelt:
Erstens wird ausgespiegelt, wenn das IP-Paket als Rx-Ereignis vom Switch angenommen wird; zweitens wird es erneut ausgespiegelt, wenn es als Tx-Ereignis vom Switch weiter gesendet wird.
TraceMagic verfügt in der "TraceMagic SysConfig" über einen Schalter, der das Eliminieren dieser Paket-Dopplungen veranlasst (was nicht immer, aber doch weitreichend funktioniert).
Erzeugt am (Datum/Uhrzeit): 2011-01-20 / 23:43:43 ... via SYNcreator
.jpg)
.jpg)
