ubuntuusers.de

multicast deaktivieren

Status: Gelöst | Ubuntu-Version: Ubuntu 14.04 (Trusty Tahr)
Antworten |

xubuntulux

Anmeldungsdatum:
8. Dezember 2014

Beiträge: 19

Hallo, Leute!

Ich versuche seit einiger Zeit die Verbindung zu "all-systems.mcast.net" bzw. "224.0.0.1" , welcher ich jede Minute 12 bytes sende, zu blocken oder den service abzuschalten. http://s9.postimg.org/kacufgcbj/screen2.png

ubuntu@ubuntu:~$ netstat -g
IPv6/IPv4 Group Assignments
interface   RefZäh Group
--------------- ------ ---------------------
lo              1      all-systems.mcast.net
eth0            1      all-systems.mcast.net
lo              1      ip6-allnodes
lo              1      ff01::1
eth0            1      ff02::1:ff84:d990
eth0            1      ip6-allnodes
eth0            1      ff01::1


ubuntu@ubuntu:~$ netstat -ng
IPv6/IPv4 Group Assignments
interface   RefZäh Group
--------------- ------ ---------------------
lo              1      224.0.0.1
eth0            1      224.0.0.1
lo              1      ff02::1
lo              1      ff01::1
eth0            1      ff02::1:ff84:d990
eth0            1      ff02::1
eth0            1      ff01::1

Ich habe es bereits geschafft eine andere verwandte Multicast Verbindung, IP 224.0.0.251, mit dem folgendem Befehl zu unterbinden:

sudo ifconfig eth0 -multicast

Der all-systems.mcast.net traffic ist aber weiterhin aktiv.

Zuletzt habe ich noch vergebens versucht die IP mit iptables to blockieren, unter Verwendung eines Posts der das Gegenteil erzielen wollte: https://www.centos.org/forums/viewtopic.php?t=8286

sudo iptables -A INPUT -s 224.0.0.0/4 -j REJECT
sudo iptables -A INPUT -d 224.0.0.0/4 -j REJECT
sudo iptables -A INPUT -s 240.0.0.0/5 -j REJECT
sudo iptables -A INPUT -m pkttype --pkt-type multicast -j REJECT
sudo iptables -A INPUT -m pkttype --pkt-type broadcast -j REJECT

Daneben gab es auch noch ein paar Ideen, dass vielleicht Cups oder Avahi-Daemon diese Verbindung verursachen, was sich jedoch auch erfolglos blieb.

Weiß jemand wie ich den 224.0.0.1 / all-systems.mcast.net traffic stoppen kann?

Danke

Bearbeitet von misterunknown:

Bitte wähle in Zukunft einen aussagekräftigen Titel!

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

xubuntulux schrieb:

Ich versuche seit einiger Zeit die Verbindung zu "all-systems.mcast.net" bzw. "224.0.0.1" , welcher ich jede Minute 12 bytes sende, zu blocken oder den service abzuschalten.

Theoretisch sollte das für alle $interfaces reichen:

ip link set $interface multicast off

Der all-systems.mcast.net traffic ist aber weiterhin aktiv.

Welcher Dienst auf deinem System nutzt denn Multicast? Im Zweifelsfall kannst du einfach Avahi oder Konsorten deinstallieren.

xubuntulux

(Themenstarter)

Anmeldungsdatum:
8. Dezember 2014

Beiträge: 19

Danke, für die schnelle Antwort!

Ich habe es sowohl mit dem eth0 als auch lo Interface probiert:

sudo ip link set eth0 multicast off
sudo ip link set lo multicast off

Leider sende ich noch immer 12 bytes in der minute an all-systems.mcast.net

netstat -g zeigt es auch noch immer an:

netstat -g
IPv6/IPv4 Group Memberships
Interface       RefCnt Group
--------------- ------ ---------------------
lo              1      all-systems.mcast.net
eth0            1      all-systems.mcast.net
lo              1      ip6-allnodes
lo              1      ff01::1
eth0            1      ff02::1:ff84:d990
eth0            1      ip6-allnodes
eth0            1      ff01::1

Ich habe auch schon Avahi und Cups verdächtigt weswegen ich die Config Files /etc/init/cups /etc/init/cups-browsed und /etc/init/avahi-daemon.conf abgeändert habe um den Start dieser services zu unterbinden.

Zusätzlich habe ich auch noch jeglichen Traffic über die offenen Ports welche sie verwenden, 631 tcp und 5353 tcp mit iptables und ufw geblockt.

Trotzdem scheint all-systems.mcast.net immer wieder in diversen Packet Sniffer Tools auf. Im screenshot habe ich zB iftop verwendet.

Ich habe auch schon versucht mit tcdump und wireshark herauszufinden was genau hinter dieser IP steckt, jedoch ohne Erfolgt.

Hättest du vielleicht noch einen anderen Vorschlag?

novecento

Avatar von novecento

Anmeldungsdatum:
6. November 2009

Beiträge: 87

xubuntulux schrieb:

Ich habe auch schon versucht mit tcdump und wireshark herauszufinden was genau hinter dieser IP steckt, jedoch ohne Erfolgt.

Der IP-Bereich ist für Multicast reseviert, so gesehen steckt nichts konkretes dahinter. Multicast sendet nicht an einen bestimmten Empfänger, sondern an eine Gruppe. Die 224.0.0.1 adressiert alle Hosts.

https://de.wikipedia.org/wiki/Multicast

https://www.fefe.de/ct/multicast.txt

https://en.wikipedia.org/wiki/Multicast_address

Was stört dich den an den Paketen?

xubuntulux

(Themenstarter)

Anmeldungsdatum:
8. Dezember 2014

Beiträge: 19

Erstmal danke für die Info!

Ich sehe keinen Grund warum dieser unnötige traffic dauernd laufen muss, da multicast nicht benötigt bzw. verwendet wird.

Ich habe es nun doch geschafft mit tcpdump mehr herauszufinden.

~$ sudo tcpdump -i eth0 -s0 -vv net 224.0.0.0/4 
12:00:50.724723 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.0.1 > all-systems.mcast.net: igmp query v2 [max resp time 10]
12:00:50.724868 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 32)
    192.168.0.1 > all-systems.mcast.net: igmp query v3 [max resp time 1.0s]
12:02:56.663591 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.0.1 > all-systems.mcast.net: igmp query v2 [max resp time 10]
12:02:56.663747 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 32)
    192.168.0.1 > all-systems.mcast.net: igmp query v3 [max resp time 1.0s]
12:05:02.602477 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.0.1 > all-systems.mcast.net: igmp query v2 [max resp time 10]
12:05:02.602647 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 32)
    192.168.0.1 > all-systems.mcast.net: igmp query v3 [max resp time 1.0s]
12:07:08.541328 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.0.1 > all-systems.mcast.net: igmp query v2 [max resp time 10]
12:07:08.541503 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 32)
    192.168.0.1 > all-systems.mcast.net: igmp query v3 [max resp time 1.0s]

IGMP Query ist anscheinend ein Protokoll das verwendet wird um Multicast Gruppenzugehörigkeit zu etablieren. Falls ich das richtig rausgelesen habe, ist es auch mit IGMP bzw. Multicast snooping verwandt. Es wechselt anscheinend dauernd Ports.

Ich lese mich mal weiter ein und würde mich in der Zwischenzeit freuen falls ihr noch ein paar Ideen hättet.

Gruß

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14347

xubuntulux schrieb:

~$ sudo tcpdump -i eth0 -s0 -vv net 224.0.0.0/4 
12:00:50.724723 IP (tos 0x0, ttl 1, id 0, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.0.1 > all-systems.mcast.net: igmp query v2 [max resp time 10]

Ist das Gerät mit der IP-Adresse 192.168.0.1, dein Router? Wenn ja, wie willst Du auf deinem Router, multicast deaktivieren? Hast Du evtl. eine modifizierte Firmware auf deinem Router?

xubuntulux

(Themenstarter)

Anmeldungsdatum:
8. Dezember 2014

Beiträge: 19

Ja, 192.168.0.1 ist der Router und er wurde von meinem ISP zur Verfügung gestellt. (Es sind sonst keine anderen Geräte im Netzwerk)

Da vorgegeben wird, dass nur deren Router verwendet werden dürfen/sollen, nehme ich an, dass die Firmware abgeändert wurde.

Also der Multicast Traffic wird aufgrund der Modifizerung der Firmware des Routers durch den ISP dauernd ausgesendet?

Gruß

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14347

xubuntulux schrieb:

Also der Multicast Traffic wird aufgrund der Modifizerung der Firmware des Routers durch den ISP dauernd ausgesendet?

Nein, die Firmware deines Zwangsrouters ist nicht bezgl. des multicast traffics, durch deinen ISP geändert worden. multicast macht der Router auch mit der Standard-Firmware. Ich fragte nach einer evtl. modifizierten Firmware, weil DU ja das multicast deaktivieren willst.

Z. B. von meiner nicht modifizierten FritzBox (Router) sieht es so aus:

:~ $ sudo tcpdump -i wlan0 -s0 -vv net 224.0.0.0/4
tcpdump: listening on wlan0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:43:22.470430 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    fritz.box > all-systems.mcast.net: igmp query v3
18:45:27.471221 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    fritz.box > all-systems.mcast.net: igmp query v3
18:47:32.472138 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    fritz.box > all-systems.mcast.net: igmp query v3
18:49:37.473928 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    fritz.box > all-systems.mcast.net: igmp query v3
18:51:42.473980 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
    fritz.box > all-systems.mcast.net: igmp query v3

xubuntulux

(Themenstarter)

Anmeldungsdatum:
8. Dezember 2014

Beiträge: 19

Tut mir leid, das hatte ich missverstanden.

Ich habe Multicast am Router nicht aktiviert, der all-systems.mcast.net traffic läuft aber unabhängig davon weiter. https://s21.postimg.org/m8ogneinr/screen.png

Gibt es außer einer modifizierten Firmware noch eine andere Option den Multicast Traffic zu unterbinden?

Gruß

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14347

xubuntulux schrieb:

... eine andere Option den Multicast Traffic zu unterbinden?

Nein, das ist nicht möglich.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

xubuntulux schrieb:

Ich sehe keinen Grund warum dieser unnötige traffic dauernd laufen muss, da multicast nicht benötigt bzw. verwendet wird.

Nun, die Pakete, die du siehst, werden vom Router geschickt. Und nur weil dein Rechner Multicast nicht benötigt, heißt das nicht, dass andere Geräte im Netzwerk ebenfalls kein Multicast benötigen. Multicast ist in vielen Providernetzen Standard und wird beispielsweise bei Streaming oder IPTV verwendet. Multicast auf dem Router zu deaktivieren kann also zu unerwünschten Nebenwirkungen führen (vor allem wenn der Internetprovider darauf setzt).

Du solltest Netzwerkverkehr, den du nicht verstehst, nicht einfach blocken, sondern verstehen 😉

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17524

Multicast, UPnP, Samba… moderne Router Brüllen eigentlich den halben Tag in dein Netzwerk. Wenn du das nicht willst darfst du keinen Fertigrouter nehmen, anders bekommst du diese Dienste nicht unterdrückt/deaktiviert.

mfg Stefan Betz

Antworten |