Seit ich vor einigen Tagen im Netzwerk eines Familienangehörigen zwei gebrauchte Apple Time Capsules (500GB sowie 2TB) installiert habe, füllt sich das Log meiner arpwatch-Instanz mit folgenden Meldungen:
hostname:ip address: 192.168.44.155 interface: eth1 ethernet address: aa:bb:cc:dd:ee:ff ethernet vendor: old ethernet address: 00:11:22:33:44:55 old ethernet vendor: Apple, Inc timestamp: Sunday, August 9, 2015 15:36:58 +0200 previous timestamp: Saturday, August 8, 2015 23:03:54 +0200 delta: 16 hours
Aus Sicht von arpwatch „übernimmt“ die Time Capsule 500GB die IP-Adresse des Apple TVs. Dies ist insofern unzulässig, weil ich die IPs statisch festgelegt habe und mittels einem DHCP-Server an die anfragende MAC-Adresse aushändige.
Nach kosmetischen Anpassungen an der Konfiguration der Time Capsule brachte ich die Fehlermeldung nicht weg. Eine Google-Suche hingegen liefert mir einen Hinweis, was das wirklich Problem sein könnte:
Bug 841067 – Arpwatch repeatedly misdetects „Bonjour Sleep Proxy“ as „flip flop“
Frei übersetzt legt die Time Capsule die Bonjour-Informationen des Apple TVs in ihrem Zwischenspeicher ab. Wenn sich der Apple TV in den Schlafmodus verabschiedet, weil das Gerät nicht (mehr) genutzt wird, sendet die Time Capsule Infos über den Apple TV regelmässig ins Netzwerk, damit andere Apple-Geräte wissen, dass ein Apple TV im Netz hängt. Irgendwie scheint dieser Bonjour-Broadcast für arpwatch auszusehen, als ob die Time Capsule unter der IP-Adresse des Apple TVs funkt.
Ich habe den Log-Alarm deshalb nun so umgestellt, dass er flip flops mit dieser IP ignorieren wird.
Nachtrag
Ein bereits älterer Thread zu dem Thema im Apple-Diskussionsforum: ARP Cache Poison behavior by Apple TV
4 Kommentare Kommentare
Hallo Mario,
würde es Dir was ausmachen zu erklären was Du bei Arpwatch umgestellt hast?
Ich habe das selbe Problem und den Arpwatch bereits vor ein paar Jahren versucht zu überreden einzelne IP Adressen zu ignorieren.
DANKE vorab
Andy
Das würde mich auch interessieren (die Frage von Andy).
Ich habe zwar etwas mit der Arpwatch-Konfig herumgetestet (mit dem Parameter -z), aber manchmal kommen doch noch flip flops durch, obwohl die IP eigentlich ignoriert werden sollte. Wie sieht den deine Konfiguration aus?
Ich dachte schon ich wäre der einzige mit dem Problem ;-)
Bei mir läuft eine Time Capsule und ein Apple TV (Beide per Ethernet/LAN und festen IPs)
Danke und Gruß
Ich muss euch leider enttäuschen: Leider habe ich keinen Weg gefunden, arpwatch gegen solche Flip Flop-Fehlalarme immun zu machen.
Ich verwende stattdessen imapfilter, um die auf meinem E-Mail-Konto eintreffenden flip flop-Meldungen von Time Capsule-IPs automatisch in den Papierkorb zu verschieben.
So kriege ich diese Meldungen nie zu Gesicht.
Hallo,
ich hatte das gleich Problem mit dem flip flop im arpwatch.
Man hat da bei arpwatch (zumindest bei Debian – andere arpwatch Versionen wohl nicht) die Option -z
aus der man page (für Debian)
[ -z ignorenet/ignoremask ]
(Debian) The -z flag is used to set a range of ip addresses to ignore (such as a DHCP range). Netmask is specified as
255.255.128.0.
Damit kann man die IP Adresse vom Apple TV ausschließen und alles wird gut.