ARP Requests an meinen Root Server

[dmuc]

Hallo,

ich habe einen Root Server bei einem deutschen Hoster. Als ich mal die Auslastung mit iftop prüfen wollte sind mir merkwürdige Verbindungen mit IP 255.255.255.255 und einem fremden Domain- und IP-Adressen aufgefallen. Daraufhin habe ich mich etwas informiert was das sein könnte. Ein Bekannter hat mir empfohlen diesen Befehl mal auszuführen und mitzuloggen was passiert:

tcpdump -i eth0 ether broadcast and ether multicast

Ich habe dies gemacht und erhalte hier hunderte solcher Anfragen pro Sekunde:

16:21:13.174056 ARP, Request who has ****** tell ***** length 46
16:21:13.174406 ARP, Request who has ****** tell ***** length 46
16:21:13.174717 ARP, Request who has ****** tell ***** length 46
16:21:13.175351 ARP, Request who has ****** tell ***** length 46
16:21:13.175772 ARP, Request who has ****** tell ***** length 46
16:21:13.175923 ARP, Request who has ****** tell ***** length 46
16:21:13.250028 ARP, Request who has ****** tell ***** length 46
16:21:13.261960 ARP, Request who has ****** tell ***** length 46
16:21:13.334608 ARP, Request who has ****** tell ***** length 46
16:21:13.360883 ARP, Request who has ****** tell ***** length 46
16:21:13.361910 ARP, Request who has ****** tell ***** length 46
16:21:13.361919 ARP, Request who has ****** tell ***** length 46
16:21:13.363287 ARP, Request who has ****** tell ***** length 46
16:21:13.363297 ARP, Request who has ****** tell ***** length 46
16:21:13.365008 ARP, Request who has ****** tell ***** length 46
16:21:13.462835 ARP, Request who has ****** tell ***** length 46
16:21:13.464375 ARP, Request who has ****** tell ***** length 46
16:21:13.464954 ARP, Request who has ****** tell ***** length 46
16:21:13.565233 ARP, Request who has ****** tell ***** length 46
16:21:13.566120 ARP, Request who has ****** tell ***** length 46
16:21:13.567008 ARP, Request who has ****** tell ***** length 46

Aus Sicherheitsgründen habe ich die Daten hier zensiert. Die ersten **** sind immer wechselnde Domains oder IP-Adressen welche, wie Stichproben ergeben haben, bei meinem Hoster im Rechenzentrum stehen... Darunter auch große Firmen mit Online-Shops etc.


Das ganze kommt mir sehr komisch vor, daher habe ich die selben Befehle mal bei einem anderen Server den ich bei einem anderen Provider habe ausgeführt und dort erhalte ich nicht einen solchen Request innerhalb von 10 Minuten. Bei mir sind es wie gesagt bestimmt hundert pro Sekunde.

Was bedeutet das genau?

Wenn ich das richtig sehe könnte ich doch hier ARP Spoofing betreiben? Sollte sowas nicht von meinem Provider unterbunden werden?

 

[MadMakz]

Multicast SPAM od. Rauschen. Jemand im Netzwerk meines Anbieters spamt, wenigstens mich, ebenfalls damit voll. Seit Jahren. (Habe in letzter Zeit aber nicht mehr geprüft)

Eigentümer wurde zwei mal kontaktiert. Lt. ihm ist alles OK. Damit hatte ich mich abgefunden bis diese IP plötzlich auch mal in SSH Logs auftauchte. Dahingehend ist diese IP Dauergebant, gegen ARP Spam kann aber nur der Netzwerkbetreiber (bzw. seine Switche) etwas tun.

 

[dmuc]

Hallo MadMakz,

das dürfte doch gar nicht vorkommen, wenn ich richtig informiert bin und stellt doch ein großes Sicherheitsrisiko ARP-Spoofing dar? https://de.wikipedia.org/wiki/ARP-Spoofing

Ich habe dies auch noch bei keinem anderen Hoster erlebt? Ich nenne hier absichtlich keine Namen vom Provider, falls es doch etwas schlimmeres sein sollte.

 

[killerbees19]

Sprechen wir hier eigentlich von einem dezidierten oder virtuellen "Root-Server"?


MfG Christian

 

[dmuc]

Hallo,

dedizierter Server. Die Anfragen kommen auch nicht nur von einer IP Adresse wie man nach dem Posting vermuten könnte.

Sowohl die ersten die ich zensiert habe und die tell **** sind immer unterschiedlich. Ich erhalte auch ausführliche hostnamen z.B. solche Anfragen

16:21:13.334608 ARP, Request who has mysql.example.com tell web1.example.com length 46

Wobei example.com in dem Beispiel der selbe Hostname von einem großen Online-Shop ist.

Wenn ich das ganze ARP System korrekt verstanden habe dann schickt doch der Server web1.example.com im Netzwerk eine Rundfrage zu welcher MAC ADresse die IP/Host mysql.example.com gehört. Das diese Anfrage überhaupt meinen Server erreicht ist schon seltsam, denn ich könnte doch nun antworten, dass mein Server für diese IP bzw. Host zuständig ist und die Abfragen abfishen und mitloggen was gesendet wird??

Spannend ist auch, wenn ich nur arp eingebe erhalte ich eine Liste mit 20 Hostnamen und MAC-Adressen welche mir nicht gehören und auch unbekannt sind. Anhand der Hostnamen sieht man, dass es sich hierbei um komplett andere dedizierte Server handelt.

 

[MadMakz]

Ja, theoretisch könntest du die Anfragen Spoofen.

Ich muss mich aber korrigieren was die Sache mit dem Netzwerkbetreiber angeht.
Lokal kann man mit arptables arbeiten.
http://linux-audit.com/filtering-arp-traffic-with-linux-arptables/

 

[dmuc]

Ja, theoretisch könntest du die Anfragen Spoofen.

Dann lag ich doch richtig... es klang für mich so unglaublich, dass ich lieber nachfragen wollte. Also vermutliche eine falsche Konfigurierung von switch oder irgendwas?

Werde dann mal meinen Provider informieren.

Arptables wäre auch ne Möglichkeit, aber das sollte doch lieber switch seitig gelöst werden, denn nicht jeder macht es und es stellt ein Risiko dar. Es ist auch der einzige Server wo sowas funktioniert. Und ich habe es heute nachdem es mir aufgefallen ist bei all unseren Root-Servern für die ich Rechte habe ausprobiert. (> 20 Stück, und versch. Anbieter) Wie oben bereits geschrieben kam bei keinem der Server innerhalb von 10 Minuten eine Anfrage rein...

 

[MadMakz]

Sofern der Switch das nicht auffängt jedenfalls. So ganz tief bin ich in ARP auch nicht eingetaucht bzw. was Routerseitig da alles gemacht werden kann. Es ging bei mir speziell nur um ARP-Spam von einer einzigen MAC.

Und diese, so schaut es jedenfalls aus, hat wohl mittlerweile das Spammen aufgehört oder mein Betreiber hat am Netzwerk etwas verändert (Afaik wird oder wurde das Netzwerk ja auch umgerüstet)

 

[Lord Gurke]

Verändere den tcpdump-Aufruf mal nach:

tcpdump -i eth0 -nn -e "arp"

Damit siehst du dann IP- und MAC-Adressen. Diese Domainauflöserei bringt ja an sich nichts...
Mit dem Parameter "-e" findest du nämlich heraus, welche MAC-Adresse fragt.

Wenn der Router deines Providers fragt, dann scannt da einfach von außen jemand brachial durch unbenutzte IPs. Das ist dann im weitesten Sinne Grundrauschen, dein Provider sollte sich aber mal Gedanken zu seinem Netzwerkkonzept machen und nicht so furchtbar große Broadcast-Domains bilden.

Wenn da viele verschiedene MAC-Adressen fragen könnte es durchaus sein dass da Leute von innen das Netzwerk durchscannen. Entweder weil sie es wollen oder weil ihre Büchse aufgemacht wurde und jemand anderes es will.
Da hilft dann ein Abuse bei deinem Provider gegen die konspirativen MAC-Adressen.

Wenn da aber extrem viele unterschiedliche MAC-Adressen fragen könnte das auf einen Versuch hindeuten, dass jemand den Switch des Providers nach "Fail Open" umschalten will. Das passiert, wenn die MAC-Adress-Tabelle des Switches voll ist und der irgendwann nicht mehr weiß an welchem Switchport welche MAC-Adresse erreichbar ist - und es dann einfach an alle Switchports schickt. So wie es ein alter dummer Hub tun würde. Das würde es ermöglichen eingehende Datenpakete für fremde IP-Adressen an einem Server am selben Switch mit tcpdump mitzulesen und aufzuzeichnen. Damit kann man dann bei unverschlüsselten Protokollen im Zweifel eine ganze Menge Logindaten erbeuten.

Oder es fragen im Grunde genommen nur sehr wenige MAC-Adressen sich selbst (also Source- und Destination-MAC identisch) nach verschiedenen IPs. Das wäre dann der Versuch, mittels "Gratuitious ARP" den Router zu verwirren.
DAS sollte dann aber definitiv von deinem Provider ASAP gefixed werden - denn die Tatsache dass du das sehen kannst zeigt dass seine Switches das nicht filtern.


Kannst ja mal mit oben beschriebenen Befehl einige Pakete sammeln und hier (unzensiert) posten. Oder wenn du das nicht möchtest per PN schicken. Dann können wir mal eine Meinung dazu haben

 

[dmuc]

Danke für deine ausführliche Antwort, habe dir auch mal deinen gewünschten Dump geschickt. Öffentlich wollte ich das nun nicht posten, um niemanden an den Pranger zu hängen oder eventuell jemanden auf dumme Gedanken zu bekommen, falls doch was ist

 

[Lord Gurke]

Wie per PN schon geschrieben (nur halt öffentlich):

Die Source von >95% der Anfragen ist eine einzelne MAC-Adresse von Juniper - also trifft wohl wahrscheinlich Variante 1 zu


Beispielhaft der anonymisierte Dump:

22:19:29.546417 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.52 tell XX.YYY.8.1, length 46
22:19:29.547105 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.94 tell XX.YYY.25.1, length 46
22:19:29.547577 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.159 tell XX.YYY.210.1, length 46
22:19:29.602338 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.205 tell AA.BBB.34.1, length 46
22:19:29.674626 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.83.136 tell XX.YYY.83.1, length 46
22:19:29.674641 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.202 tell XX.YYY.25.1, length 46
22:19:29.674896 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.29 tell XX.YYY.73.1, length 46
22:19:29.674911 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.0.78 tell AA.BBB.0.1, length 46
22:19:29.675507 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.51 tell XX.YYY.8.1, length 46
22:19:29.675718 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.177 tell XX.YYY.25.1, length 46
22:19:29.678791 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.224 tell XX.YYY.35.1, length 46
22:19:29.708041 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.229 tell AA.BBB.34.1, length 46
22:19:29.708054 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.50 tell XX.YYY.8.1, length 46
22:19:29.750674 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.28 tell XX.YYY.19.1, length 46
22:19:29.751087 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.53 tell XX.YYY.8.1, length 46
22:19:29.751133 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.117 tell XX.YYY.25.1, length 46
22:19:29.751418 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.194 tell XX.YYY.73.1, length 46
22:19:29.751616 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.25 tell XX.YYY.14.1, length 46
22:19:29.752635 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.12.20 tell XX.YYY.12.1, length 46
22:19:29.853455 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.152 tell XX.YYY.210.1, length 46
22:19:29.854056 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.237 tell XX.YYY.210.1, length 46
22:19:29.854520 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.148 tell XX.YYY.19.1, length 46
22:19:29.953850 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.57 tell XX.YYY.19.1, length 46
22:19:29.954300 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.51 tell XX.YYY.19.1, length 46
22:19:29.955519 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.231 tell XX.YYY.25.1, length 46
22:19:29.959645 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.80 tell XX.YYY.19.1, length 46
22:19:30.012231 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.25 tell XX.YYY.35.1, length 46
22:19:30.032818 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.50 tell XX.YYY.19.1, length 46
22:19:30.057337 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.112 tell XX.YYY.35.1, length 46
22:19:30.058185 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.130 tell XX.YYY.35.1, length 46
22:19:30.058340 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.13 tell XX.YYY.35.1, length 46
22:19:30.058587 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.20 tell XX.YYY.14.1, length 46
22:19:30.066851 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.59 tell XX.YYY.14.1, length 46
22:19:30.088187 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.206 tell XX.YYY.19.1, length 46
22:19:30.125636 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.203 tell XX.YYY.25.1, length 46
22:19:30.160250 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.159 tell XX.YYY.210.1, length 46
22:19:30.176814 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.18 tell XX.YYY.25.1, length 46
22:19:30.262844 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.177 tell XX.YYY.25.1, length 46
22:19:30.265270 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.65 tell XX.YYY.25.1, length 46
22:19:30.265673 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.180.52 tell XX.YYY.180.33, length 46
22:19:30.366125 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.25 tell XX.YYY.14.1, length 46
22:19:30.366530 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.224 tell XX.YYY.35.1, length 46
22:19:30.366794 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.0.78 tell AA.BBB.0.1, length 46
22:19:30.367324 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.205 tell AA.BBB.34.1, length 46
22:19:30.367801 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.94 tell XX.YYY.25.1, length 46
22:19:30.368129 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.2 tell XX.YYY.73.1, length 46
22:19:30.368143 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.50.53 tell XX.YYY.50.1, length 46
22:19:30.373948 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.240 tell XX.YYY.35.1, length 46
22:19:30.452558 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.22 tell XX.YYY.210.1, length 46
22:19:30.488602 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.237 tell XX.YYY.210.1, length 46
22:19:30.489491 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.229 tell AA.BBB.34.1, length 46
22:19:30.489549 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.83.136 tell XX.YYY.83.1, length 46
22:19:30.512920 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.222 tell XX.YYY.73.1, length 46
22:19:30.589439 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.194 tell XX.YYY.73.1, length 46
22:19:30.589452 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.117 tell XX.YYY.25.1, length 46
22:19:30.589457 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.28 tell XX.YYY.19.1, length 46
22:19:30.589543 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.50 tell XX.YYY.8.1, length 46
22:19:30.675199 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.130 tell XX.YYY.35.1, length 46
22:19:30.675503 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.25 tell XX.YYY.35.1, length 46
22:19:30.675796 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.231 tell XX.YYY.25.1, length 46
22:19:30.676054 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.57 tell XX.YYY.19.1, length 46
22:19:30.677341 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.53 tell XX.YYY.8.1, length 46
22:19:30.689828 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.52 tell XX.YYY.8.1, length 46
22:19:30.710014 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.51 tell XX.YYY.8.1, length 46
22:19:30.777419 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.203 tell XX.YYY.25.1, length 46
22:19:30.777434 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.206 tell XX.YYY.19.1, length 46
22:19:30.778361 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.80 tell XX.YYY.19.1, length 46
22:19:30.778712 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.51 tell XX.YYY.19.1, length 46
22:19:30.880311 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.59 tell XX.YYY.14.1, length 46
22:19:30.880578 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.20 tell XX.YYY.14.1, length 46
22:19:30.880593 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.13 tell XX.YYY.35.1, length 46
22:19:30.880903 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.112 tell XX.YYY.35.1, length 46
22:19:30.981377 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.25 tell XX.YYY.14.1, length 46
22:19:30.981723 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.65 tell XX.YYY.25.1, length 46
22:19:30.982944 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.159 tell XX.YYY.210.1, length 46
22:19:30.983702 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.50 tell XX.YYY.19.1, length 46
22:19:30.984754 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.41 tell XX.YYY.19.1, length 46
22:19:31.084407 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.22 tell XX.YYY.210.1, length 46
22:19:31.084821 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.205 tell AA.BBB.34.1, length 46
22:19:31.084909 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.224 tell XX.YYY.35.1, length 46
22:19:31.186832 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.50 tell XX.YYY.8.1, length 46
22:19:31.187797 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.83.136 tell XX.YYY.83.1, length 46
22:19:31.188515 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.2 tell XX.YYY.73.1, length 46
22:19:31.188748 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.0.78 tell AA.BBB.0.1, length 46
22:19:31.189842 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.177 tell XX.YYY.25.1, length 46
22:19:31.193186 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.15.248 tell AA.BBB.15.225, length 46
22:19:31.227646 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.95 tell XX.YYY.210.1, length 46
22:19:31.291202 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.222 tell XX.YYY.73.1, length 46
22:19:31.291782 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.237 tell XX.YYY.210.1, length 46
22:19:31.291871 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.240 tell XX.YYY.35.1, length 46
22:19:31.393063 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.206 tell XX.YYY.19.1, length 46
22:19:31.393837 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.231 tell XX.YYY.25.1, length 46
22:19:31.394453 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.28 tell XX.YYY.19.1, length 46
22:19:31.394468 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.194 tell XX.YYY.73.1, length 46
22:19:31.395258 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.229 tell AA.BBB.34.1, length 46
22:19:31.395903 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.112 tell XX.YYY.35.1, length 46
22:19:31.396704 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.80 tell XX.YYY.19.1, length 46
22:19:31.397165 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.52 tell XX.YYY.8.1, length 46
22:19:31.397180 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.53 tell XX.YYY.8.1, length 46
22:19:31.419454 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.27 tell XX.YYY.8.1, length 46
22:19:31.479530 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.90 tell XX.YYY.25.1, length 46
22:19:31.495826 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.225 tell XX.YYY.25.1, length 46
22:19:31.495963 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.60 tell XX.YYY.25.1, length 46
22:19:31.529964 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.20 tell XX.YYY.14.1, length 46
22:19:31.530639 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.51 tell XX.YYY.8.1, length 46
22:19:31.530934 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.57 tell XX.YYY.19.1, length 46
22:19:31.530949 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.25 tell XX.YYY.35.1, length 46
22:19:31.569173 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has MM.NNN.38.246 tell MM.NNN.38.241, length 46
22:19:31.569188 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.83.73 tell XX.YYY.83.1, length 46
22:19:31.603005 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.22 tell XX.YYY.210.1, length 46
22:19:31.603827 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.59 tell XX.YYY.14.1, length 46
22:19:31.719317 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.0.78 tell AA.BBB.0.1, length 46
22:19:31.719821 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.224 tell XX.YYY.35.1, length 46
22:19:31.720056 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.50 tell XX.YYY.19.1, length 46
22:19:31.807267 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.237 tell XX.YYY.210.1, length 46
22:19:31.908524 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.2 tell XX.YYY.73.1, length 46
22:19:31.909341 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.205 tell AA.BBB.34.1, length 46
22:19:31.916302 fe:23:b9:8e:ea:68 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.10.254.1 tell 10.10.254.11, length 46
22:19:31.917003 9a:b6:17:c5:f5:ef > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.10.254.254 tell 10.10.254.1, length 46
22:19:31.966433 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.50.57 tell XX.YYY.50.1, length 46
22:19:31.993380 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.196 tell XX.YYY.73.1, length 46
22:19:32.006704 9a:b6:17:c5:f5:ef > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.10.254.11 tell 10.10.254.1, length 46
22:19:32.010068 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.112 tell XX.YYY.35.1, length 46
22:19:32.010083 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.34.229 tell AA.BBB.34.1, length 46
22:19:32.010532 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.206 tell XX.YYY.19.1, length 46
22:19:32.010915 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.240 tell XX.YYY.35.1, length 46
22:19:32.011079 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.222 tell XX.YYY.73.1, length 46
22:19:32.011454 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.210.95 tell XX.YYY.210.1, length 46
22:19:32.011469 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has AA.BBB.15.248 tell AA.BBB.15.225, length 46
22:19:32.011474 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.177 tell XX.YYY.25.1, length 46
22:19:32.112018 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.20 tell XX.YYY.14.1, length 46
22:19:32.112048 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.60 tell XX.YYY.25.1, length 46
22:19:32.112237 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.225 tell XX.YYY.25.1, length 46
22:19:32.112587 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.52 tell XX.YYY.8.1, length 46
22:19:32.113274 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.231 tell XX.YYY.25.1, length 46
22:19:32.140598 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.203 tell XX.YYY.25.1, length 46
22:19:32.187179 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.51 tell XX.YYY.19.1, length 46
22:19:32.214023 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.83.73 tell XX.YYY.83.1, length 46
22:19:32.214038 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.25 tell XX.YYY.35.1, length 46
22:19:32.214194 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.51 tell XX.YYY.8.1, length 46
22:19:32.214702 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.25.90 tell XX.YYY.25.1, length 46
22:19:32.215689 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.73.194 tell XX.YYY.73.1, length 46
22:19:32.287095 a6:78:d6:62:fc:97 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.10.254.1 tell 10.10.254.16, length 46
22:19:32.287420 9a:b6:17:c5:f5:ef > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.10.254.16 tell 10.10.254.1, length 46
22:19:32.315690 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.50 tell XX.YYY.19.1, length 46
22:19:32.316290 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.14.59 tell XX.YYY.14.1, length 46
22:19:32.316723 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has MM.NNN.38.246 tell MM.NNN.38.241, length 46
22:19:32.317439 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.8.27 tell XX.YYY.8.1, length 46
22:19:32.318415 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.28 tell XX.YYY.19.1, length 46
22:19:32.389189 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.66 tell XX.YYY.35.1, length 46
22:19:32.421065 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.35.224 tell XX.YYY.35.1, length 46
22:19:32.421808 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.19.57 tell XX.YYY.19.1, length 46
22:19:32.466290 00:23:9c:fc:6f:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has XX.YYY.12.48 tell XX.YYY.12.1, length 46

Von den IP-Adressen habe ich immer nur die ersten beiden Oktetts jeweils identisch anonymisiert.
Man kann ganz gut sehen, dass fast alle Anfragen von der selben MAC-Adresse (Juniper) kommen und nur sehr wenige Source-IPs ("Tell XXXX") genannt werden. Das ist der Router, der mit den zum jeweiligen Subnetz gehörenden IP-Adresse per ARP nach MAC-Adressen zu diversen IPs aus seinem Netz fragt.
Dass der dabei so in der Gegend feuert ist nicht schön, aber grundsätzlich erstmal legitim.

 

[dmuc]

Sicher? Oder lag es eventuell an dem kurzen Dump-Zeitraum. Ich erstelle nun mal für mich einen längeren Dump und sortiere dann mal nach den MAC Adressen.

Dennoch ist es doch ein Sicherheitsrisiko? Denn ich sollte doch keine Abfrage erhalten an meinem Server ob ich für mysql.fremder-server.de (BEispiel) verantwortlich bin... Wenn ich das nun vereinfacht gesagt mit JA beantworte dann fange ich doch die Pakete ab?

 

[Lord Gurke]

Dennoch ist es doch ein Sicherheitsrisiko? Denn ich sollte doch keine Abfrage erhalten an meinem Server ob ich für mysql.fremder-server.de (BEispiel) verantwortlich bin... Wenn ich das nun vereinfacht gesagt mit JA beantworte dann fange ich doch die Pakete ab?

Dass du die ARP-Anfragen bekommst ist erstmal kein Risiko. Wenn du sie beantworten könntest schon

Der Router fragt ja erstmal nicht nach Domains sondern will nur wissen, an welche Netzwerkkarte (MAC-Adresse) er Pakete mit der Ziel-IP XYZ schicken soll.

Bei dieser ARP-Anfrage könntest du jetzt natürlich sagen, dass diese IP bei dir (deiner Netzwerkkarte) erreichbar ist und er die Anfragen bitte an dich adressieren soll. Wenn das nicht vom Provider gefiltert wird könntest du damit dann mit fremden IP-Adressen hantieren, was natürlich absolut nicht schön ist.
OB das wirklich so ist kann man natürlich nur spekulieren. Es ist auch gut möglich, dass du zwar die ARP-Anfragen siehst, eine Antwort von deinem Server auf IP-Adressen die dir nicht zugewiesen sind aber vom Switch verschluckt wird.

 

[dmuc]

Okay ich will es natürlich auch nicht ausprobieren da einfach mal eine fremde IP anzugeben... ich war nur verwundert, weil ich es bei keinem der anderen Server auf die ich Zugriff habe gesehen habe. Da gibt der oben genannte Befehl gar keine Requests zurück...

Hier übrigens noch unique Mac Adressen die ich gerade aus einem etwas längeren Log gefiltert habe... sind immerhin 42 verschiedene.

00:0c:29:89:f7:ab 
00:0c:29:8a:43:6c 
00:0c:29:8a:43:76 
00:1a:8c:f0:1a:80 
00:22:4d:a4:e3:b4 
00:22:4d:a5:9e:23 
00:23:9c:fc:6f:f0 
00:25:90:a1:d3:32 
00:25:90:a4:37:2a 
00:25:90:aa:af:68 
00:25:90:d8:ef:fe 
00:30:67:c9:25:46 
06:0a:a1:c8:ce:24 
0c:c4:7a:17:3d:dc 
22:11:8f:07:24:6c 
2e:69:49:9d:c8:66 
3a:10:09:df:5c:97 
3e:c2:00:ff:f3:50 
42:b0:e4:bc:e8:48 
6e:26:d6:17:cb:09 
6e:c6:4c:4f:ec:5a 
76:41:7c:e3:ca:63 
7a:16:a6:9f:c5:90 
7a:e5:3a:0f:89:83 
8e:5a:b2:dc:2e:b1 
90:e2:ba:2b:b0:5d 
96:c7:da:0f:c2:0b 
9a:b6:17:c5:f5:ef 
9a:e3:98:d6:aa:9a 
ba:48:9d:59:99:4b 
ba:ac:9f:d4:f6:ce 
bc:5f:f4:90:19:23 
bc:5f:f4:bc:ec:76 
bc:5f:f4:f9:b6:51 
c2:c2:bd:5d:e6:fe 
c2:c9:27:09:bb:37 
d0:50:99:3e:59:06 
d4:3d:7e:4a:31:79 
da:4b:02:b1:22:64 
de:fb:28:56:b0:fe 
f6:ef:4a:c3:79:7b 
fe:23:b9:8e:ea:68

Natürlich hat nicht jede so viele Anfragen wie die o.g. nach deiner Erklärung scheint es dann doch normal zu sein...

Ich danke dir nochmal für die guten Erklärungen.

 

[Lord Gurke]

Kein Problem
Man kann Switches so konfigurieren, dass die das ARP komplett für dich beantworten. Das entlastet das Netz und es wird gleichzeitig sichergestellt dass du kein IP- oder ARP-Spoofing betreiben kannst.
Ist natürlich ein gewisser Aufwand, wenn z.B. mal ein Server an einen anderen Switch zieht oder ähnliches.