Ich hatte diese Woche ein sehr interessantes Verhalten in einer Kunden-Umgebung, die sich vielleicht lohnt zu beschreiben, falls noch jemand anders auch diese Probleme hat.
Vor Ort musste ein PC ausgetauscht werden, da das alte Gerät in die Jahre gekommen ist und nicht mehr genügend Leistung hatte. Als Ersatz für diesen Büro-Rechner habe ich dann einen Dell Optiplex in der Micro-Gehäuse-Variante beschafft, installiert und vor Ort installiert. Das Gerät zeigte keine Auffälligkeiten, und ließ sich problemlos einrichten. Nachdem wir das Gerät vollständig eingerichtet haben, testete der Kunde die benötigten Programme, Dateien usw. und wir sind wieder abgereist. Das war so gegen 14 Uhr. Ab kurz nach vier begann das Monitoring vor Ort, Meldungen raus zu schicken, dass eine unnatürlich hohe Anzahl an Fehlern auf diversen Netzwerkkarten sichtbar wurden und protokolliert wurden.
Ich habe mir dann gegen Abend die Geräte angeschaut, und es war recht gut sichtbar, dass im Netzwerk ab exakt 16 Uhr die Bandbreite auf diversen Netzwerkkarten extrem angestiegen ist. Dank dem Monitoring ließ sich gut erkennen, dass es sich um Multicast-Traffic handelt. Ich dachte im ersten Moment, dass vielleicht in Richtung Videoüberwachung oder so etwas neu dazugekommen ist, dem war aber nicht so. Da ich im ersten Moment nicht genau wusste, wo dieser Traffic her kommt und warum das auf einmal ab exakt 16 Uhr der Fall ist, habe ich mir einen Wireshark auf einem Testsystem installiert, und habe mir mal die Pakete angeschaut. In den Standard-Einstellungen war das recht überschaubar, und auch nicht wirklich auffällig, was aber daran liegt, dass Multicast-Traffic ohne einen Filter nicht direkt sichtbar gemacht wird. Ich habe denn den Filter
(eth.dst[0]&1) && !eth.dst==ff:ff:ff:ff:ff:ffangewandt, was zu einer extremen Flut an Paketen geführt hat. In diesen Paketen konnte ich dann die MAC-Adresse vom Endgerät sehen, diese wurde dann auch direkt Dell zugeordnet. Eine kurze Überprüfung der MAC-Adresse zeigte dann, dass es sich bei der Karte um den zuvor installierten Dell Optiplex-PC handelte.
Ich habe dann in diese Richtung Google bemüht, und bin zu meiner Überraschung direkt auf den folgenden Artikel gestoßen:
Network Guys: ICMPv6 ‘Multicast Listener Report’ flooding the network
Hier beschreibt der Autor, dass bei einem Kunden ab exakt 4 PM (strange, aber vielleicht machen die jeweils um 16 Uhr Feierabend und fahren den PC runter?!?) eine Flut an Paketen im Netzwerk sichtbar wurden. Ursache für dieses Verhalten ist wohl die verbaute Intel-Netzwerkkarte und die Intel AMT-Technik. Die Pakete werden ab dann ins Netzwerk geschossen, wenn der Rechner ausgeschaltet wird bzw. in einen Sleep-Modus versetzt wird.
Basierend auf diesem Wissen habe ich dann weitergesucht, und noch mehrere Personen und Beiträge gefunden, die dieses Problem ebenfalls haben / hatten:
Intel.com: IPv6 multicast flood during sleep from i219-LM
Intel.com: IPv6 multicast flood during sleep from i217-LM
Ursache scheint ein Problem mit einer gewisse Reihe an Chips zu sein, die zu dieser ungewollten Paketflut führt. Es gibt zwei Ansätze, die für eine Lösung sorgen sollen:
- Die Deaktivierung von IPv6 im Windows Betriebssystem
- Die Deaktivierung des Sleep States im BIOS
Die erste Option hat bei mir (komischerweise) funktioniert. Ich habe dazu einfach im Windows in der Netzwerkkarte die IPv6-Bindung rausgeklickt, danach war im Standby / Hibernate kein weiterer Traffic zu sehen. Zusätzlich habe ich allerdings auch im BIOS des Gerätes noch den Energiesparmodus angepasst (Dell.com – Energiespareinstellungen) und die Energie-Option so gestellt, dass der Rechner vollständig aus ist, und nicht noch in einem Schlafmodus erreichbar ist (was ja für Wake-on-LAN notwendig wäre).
