Sonntag, 9. August 2015

Apple TV verursacht zusammen mit einer Apple Time Capsule arpwatch flip flops

Seit ich vor einigen Tagen im Netzwerk eines Familienangehörigen zwei gebrauchte Apple Time Capsules (500GB sowie 2TB) installiert habe, füllt sich das Log meiner arpwatch-Instanz mit folgenden Meldungen:

            hostname: 
          ip address: 192.168.44.155
           interface: eth1
    ethernet address: aa:bb:cc:dd:ee:ff
     ethernet vendor: 
old ethernet address: 00:11:22:33:44:55
 old ethernet vendor: Apple, Inc
           timestamp: Sunday, August 9, 2015 15:36:58 +0200
  previous timestamp: Saturday, August 8, 2015 23:03:54 +0200
               delta: 16 hours

Aus Sicht von arpwatch „übernimmt“ die Time Capsule 500GB die IP-Adresse des Apple TVs. Dies ist insofern unzulässig, weil ich die IPs statisch festgelegt habe und mittels einem DHCP-Server an die anfragende MAC-Adresse aushändige.

Nach kosmetischen Anpassungen an der Konfiguration der Time Capsule brachte ich die Fehlermeldung nicht weg. Eine Google-Suche hingegen liefert mir einen Hinweis, was das wirklich Problem sein könnte:

Bug 841067 – Arpwatch repeatedly misdetects „Bonjour Sleep Proxy“ as „flip flop“

Frei übersetzt legt die Time Capsule die Bonjour-Informationen des Apple TVs in ihrem Zwischenspeicher ab. Wenn sich der Apple TV in den Schlafmodus verabschiedet, weil das Gerät nicht (mehr) genutzt wird, sendet die Time Capsule Infos über den Apple TV regelmässig ins Netzwerk, damit andere Apple-Geräte wissen, dass ein Apple TV im Netz hängt. Irgendwie scheint dieser Bonjour-Broadcast für arpwatch auszusehen, als ob die Time Capsule unter der IP-Adresse des Apple TVs funkt.

Ich habe den Log-Alarm deshalb nun so umgestellt, dass er flip flops mit dieser IP ignorieren wird.

Nachtrag

Ein bereits älterer Thread zu dem Thema im Apple-Diskussionsforum: ARP Cache Poison behavior by Apple TV

Liked this post? Follow this blog to get more. 

Tags: , , , , , , ,
Labels: Apple, Linux

3 Kommentare Kommentare

Andy sagt:

Hallo Mario,

würde es Dir was ausmachen zu erklären was Du bei Arpwatch umgestellt hast?
Ich habe das selbe Problem und den Arpwatch bereits vor ein paar Jahren versucht zu überreden einzelne IP Adressen zu ignorieren.

DANKE vorab

Andy

jG sagt:

Das würde mich auch interessieren (die Frage von Andy).
Ich habe zwar etwas mit der Arpwatch-Konfig herumgetestet (mit dem Parameter -z), aber manchmal kommen doch noch flip flops durch, obwohl die IP eigentlich ignoriert werden sollte. Wie sieht den deine Konfiguration aus?

Ich dachte schon ich wäre der einzige mit dem Problem ;-)
Bei mir läuft eine Time Capsule und ein Apple TV (Beide per Ethernet/LAN und festen IPs)

Danke und Gruß

Mario Aeby sagt:

Ich muss euch leider enttäuschen: Leider habe ich keinen Weg gefunden, arpwatch gegen solche Flip Flop-Fehlalarme immun zu machen.

Ich verwende stattdessen imapfilter, um die auf meinem E-Mail-Konto eintreffenden flip flop-Meldungen von Time Capsule-IPs automatisch in den Papierkorb zu verschieben.

So kriege ich diese Meldungen nie zu Gesicht.

Kommentar erfassen