Högis Dungeon

Und jetzt erst recht!

Intel: Evil Inside

Anfang November hatten wir in einem unserer Standorte einen (längst überfälligen) PC-Lifecycle-Tausch; alle verbleibenden Windows XP Kisten flogen endgültig raus und wurden durch aktuelle HP ProDesk 600 G1 Small-Form-Factor-PCs ersetzt. Klassische Vorgehensweise: die Geräte werden fertig aufgesetzt, auf unsere Umgebung angepasst ausgeliefert und unter Berücksichtigung des alltäglichen Arbeitszyklus’ des Personals in den jeweils betroffenen Abteilungen aufgestellt. Der Tausch lief soweit absolut sauber und problemlos ab; nach den üblichen Hürden des Umstiegs von der bekannten XP auf Windows 7 Oberfläche lief der Laden sprichwörtlich wieder. Nur einen Tag nach unserer Abreise (wann sonst; solange Techniker vor Ort sind läuft alles scheinheilig gut ) fingen die Probleme an…

Die Symptome

Plötzlich tauchten die merkwürdigsten Probleme auf, welche mit einem plumpen Rechner-Tausch scheinbar nicht viel gemein haben konnten. Zuerst gingen die Drucker reihenweise offline; Verkabelung, Print-Server-Konfiguration und Stromversorgung jedoch intakt. Klagen über massive Performance-Probleme wurden eingereicht; das Hochfahren und Anmelden dauert ewig, Applikationen hingen und wurden nahezu un-bedienbar, schließlich hatte auch noch zu allem Überfluss plötzlich die WAN-Verbindung unregelmäßige Aussetzer, was Internet und Rechenzentrums-Dienste stark beeinträchtigte. Ein Wochenende verstrich und trotz penibler Prüfung sämtlicher verdächtigen Komponenten (File-Server spinnt womöglich und überlastet das Netzwerk mit Synchronisation von Profil-Daten? Sehr unwahrscheinlich, laut Netzwerkmonitor langweilte sich die Maschine) besserte sich die Lage um kein Quäntchen. Fernwarten ist nahezu unmöglich, da die WAN-Leitung trotz gemeinsamer Analyse mit dem ISP immer noch massiv Pakete verlor. Also Werkzeuge eingepackt und den Standort besucht.

Die Diagnose

Da sich an der Peripherie nichts signifikantes verändert hatte, lag der Fokus der Analyse an den Komponenten des Netzwerks. Zuerst viel auf, dass der Link von WAN-Modem zu Core-Switch im 100 Half-Duplex-Modus lief, trotz Auto-MDI-X. Setzen beider Seiten auf 1000 Full brachte nur geringfügige Verbesserung. Blieb doch noch das massive Problem verborgen im eigenen LAN. Also schnappte ich mir das Patch-Kabel eines betroffenen Druckers, schloss mein Notebook an und ließ den Packet-Sniffer auf das Netz los:

ICMPv6 Mutlicast Flood

Ja was zum Kuckuck…  ICMPv6 Multicast? Fast eine Million Pakete in nur ~3 Sekunden? Wo kommt das denn her!?

Die Suche

OK, mit den IPv6-Adressen als Quelle kommen wir nicht weit, da es sich hierbei um automatisch vergebene Link-Local-Adressen handelt. Doch halt, diese beinhalten doch die MAC-Adresse der Quell-NIC? Und mit der MAC-Adresse und einem Blick in die Inventar-Datenbank lässt sich der Standort der Geräte ermitteln!

IPv6 to MACHa!  Damit hatten wir den Standort! Und natürlich waren es die Büros, welche alle neue Rechner spendiert bekamen…

MAC-AdresseDie Ursache

Die Problemkinder waren gefunden, nun ging es darum herauszufinden, warum uns diese in die Suppe spukten. Direkter Verursacher ist nun wohl offensichtlich die Netzwerkkarte, also mal etwas mehr darüber in Erfahrung gebracht:

Intel-NIC alt

Hm, Intel i217-LM und ICMPv6 Multicast, was sagt denn das Internet dazu

Interessant, der Artikel beschreibt exakt das hier beobachtete Verhalten. Nur ist dieser vom Februar 2014, der ausgelieferte Treiber jedoch von Dezember 2013!  Also schnell das aktuellste Paket von der Intel-Homepage heruntergeladen, installiert und siehe da; sofort um einige Features reicher und einige Monate aktueller:

Intel-NIC neuNachdem diese Korrektur auf allen Maschinen angewandt wurde, habe ich diese wieder in den Standby versetzt und das Netz beobachtet.

Der Spuk war vorbei! 

Die Moral von der Geschicht’

Treiber pflegt man, oder nicht 

Die Drucker konnten übrigens nur durch einen Hard-Reset (Stromstecker ziehen) wieder zur Kooperation gezwungen werden, da sich durch den Flood die Firmware komplett aufgehängt hatte. Nun drucken sie wieder wie am ersten Tag 


Fatal error: Uncaught exception 'TeamSpeak3_Transport_Exception' with message 'connection to server '127.0.0.1:10011' lost' in /var/www/wordpress/htdocs/wp-content/plugins/teamspeak-3-viewer-plugin-for-wordpress-widget/libraries/TeamSpeak3/Transport/TCP.php:108 Stack trace: #0 /var/www/wordpress/htdocs/wp-content/plugins/teamspeak-3-viewer-plugin-for-wordpress-widget/libraries/TeamSpeak3/Adapter/ServerQuery.php(77): TeamSpeak3_Transport_TCP->readLine() #1 [internal function]: TeamSpeak3_Adapter_ServerQuery->__destruct() #2 {main} thrown in /var/www/wordpress/htdocs/wp-content/plugins/teamspeak-3-viewer-plugin-for-wordpress-widget/libraries/TeamSpeak3/Transport/TCP.php on line 108