Hallo,
eigentlich ist es mir herzlich egal, was die Leute mit Windows treiben,
aber in diesem Fall bin ich selbst betroffen. Wir haben einen Tektronix
Drucker am Netzwerk (bei mir: socket://phaser:9100), mit Windows 8.1 und
den Xerox-Treibern konnte meine Frau so leidlich drucken.
Seitdem sie aber auf Windows 10 "upgegradet" hat, geht nichts mehr.
Selbst von anderen Rechnern lässt sich nur noch über das Netzwerk
drucken, wenn ihr Laptop zu/aus ist. Ansonsten resettet sich der Drucker
kurz nach Datenempfang oder in unregelmäßigen Abständen. Am Drucker
selbst habe ich alles ausser TCP/IP deaktiviert und auch inzwischen die
IP-Adresse geändert, alles ohne Erfolg.
Zeitweise hatte ich einen alten IBM T23 als Druckserver rumstehen und
den Drucker parallel angesteuert, aber der braucht halt zusätzlich Strom
und der Drucker muß eingeschaltet sein bevor man beginnt zu drucken,
ansonsten kommen nur "Müllseiten" raus.
Also habe ich mir gestern mal mit Wireshark die im Netzwerk
umherfliegenden Broadcasts angeschaut und seltsame Dinge dabei gefunden:
1
192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB PHKDGJUNAP<00>
2
192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB EOZXXRNBDT<00>
3
192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB KZBOMPUSJS<00>
Das ist Netbios-Name-Service, aber andere Windows-Rechner gibt es nicht
im Netz. Die Blöcke werden jeweils 3x wiederholt, nach 1-5 Minuten
wiederholt sich das mit 3 anderen "zufälligen" Namen.
Ist das normal oder kann das auch irgendeine Malware sein? Auf dem
Laptop ist, soviel ich weiß, Kaspersky-Schlangenöl installiert.
Jörg
Joerg W. schrieb:> Seitdem sie aber auf Windows 10 "upgegradet"
Dann gib mal auf einem ANDEREM, funktionierenden NichtW10-PC den
Tektronix-Drucker frei und versuche behelfsweise darüber zu drucken.
Joerg W. schrieb:> Also habe ich mir gestern mal mit Wireshark die im Netzwerk> umherfliegenden Broadcasts angeschaut und seltsame Dinge dabei gefunden:>
1
> 192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB
2
> PHKDGJUNAP<00>
3
> 192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB
4
> EOZXXRNBDT<00>
5
> 192.168.xxx.xxx 192.168.xxx.255 NBNS 92 Name query NB
6
> KZBOMPUSJS<00>
7
>
Und das ist alles?
Das glaube ich nicht. Windows-Rechner sind normal viel, viel
gesprächiger und senden allen möglichen Mist ins Netz.
Vermutlich erkennt irgendeine Ad-hoc-Automatikfunktion vom neuen Windows
daß da ein Drucker im LAN ist und will den irgendwie einbinden was der
Drucker nicht mag.
Du musst also untersuchen, was der Windows-Rechner und der Drucker
miteinander reden. Sauberste Lösung ist ein managebarer Switch mit
Monitoring-Port-Funktion oder ein ganz alter Hub aus 10MBit-Zeiten.
Damit überwachst Du allen Daten die zwischen dem Drucker und dem LAN
fließen mit Wireshark. Also nicht nur die Broadcasts.
Wenn Du beides nicht hast, kannst Du auch den Wireshark auf den
Windows-PC packen. Natürlich mit der Gefahr daß Du nicht wirklich siehst
was auf der Leitung passiert. Das ist durch die ganzen
Offloading-Funktionen der Netzwerkkarten etc. nichts ungewöhnliches.
Den Mitschnitt lässt Du solange laufen bis der Drucker wieder streikt.
Dann schau Dir mal vor allem TCP an die Ports 9100 und 631 sowie SMB an.
vielen Dank für die Antworten.
wir haben nur einen Laptop mit Windows10 im Haus. Die anderen beiden
haben Linux drauf. Es gibt zwar noch einen Laptop mit Vista drauf, aber
der hat am Ende schon eine Viertelstunde fürs Booten gebraucht...
Gibt es eigentlich noch die Möglichkeit, ein ISO probeweise in einer VM
zu installieren?
Der Win10-Rechner produziert natürlich noch mehr Broadcasts, die oben
genannten kamen mir allerdings suspekt vor. Einen managbaren Switch
hätte ich da, aber da der Win10-Rechner über WLAN am Netz hängt, sollte
es auch reichen mittels Wireshark und wlan0-mon die Pakete
mitzuschneiden.
Ansonsten könnte ich wohl den Drucker in ein getrenntes Netzwerk legen
und einen Raspberry Pi als Gateway WLAN->LAN nehmen und dort alle Pakete
vom Win10-Rechner blockieren.
Etwas am Windows-Rechner zu installieren, konfigurieren etc. ist für
mich inzwischen ein absolutes NO-GO. Wer so etwas unbedingt haben will
und Windows als das Maß aller Dinge ansieht, der muß auch mit den daraus
resultierenden Konsquenzen leben.
Jörg
Joerg W. schrieb:> Seitdem sie aber auf Windows 10 "upgegradet" hat, geht nichts mehr.
Du musst eventuell erst einmal warten bis Win10 Deine ganzen privaten
Daten wie Fotos, eMails, Nachrichten, Videos, Dokumente etc an den
MS-Server (siehe Lizenzbedingung) gesendet hat. Das kann im Netzwerk
eventuell zu Störungen kommen.
Grobe Vermutung:
Der Windows-Treiber für den Phaser schaut alle X Minuten mal nach, wie
der Druckerstatus so ist.
Der Drucker kann auf dem Port 9100 aber nur eine Verbindung
gleichzeitig.
(Ist nicht so abwegig, das Protokoll auf dem Port ist mehr oder weniger
eine 1:1 TCP -> LPT Umsetzung. LPT ist nicht multi-master-fähig.)
Jedes mal wenn Windows nach dem Drucker schaut, bricht der alles andere
ab.
Evtl. Lösungsoption: Aktiviere auf dem Drucker zusätzlich noch
zusätzlich ein mehr Windows-Affines Druckprotokoll.
Vielleicht benutzt windows 10 dann dieses vorrangig und lässt Port 9100
in Ruhe.
Vielleicht wird alles aber auch viel schlimmer.
Notfalls in einem unbeobachteten Moment das Notebook schnappen und den
Druckertreiber deinstallieren, der an tcp/9100 gebunden ist.
Alex W. schrieb:> Du musst eventuell erst einmal warten
... bis die Trolle aufhören, derartigen Blödsinn zu posten, wenn sie
irgendwo "Windows 10" lesen.
Das mit dem Hochladen zur MS-Cloud finde ich inzwischen gar nicht mehr
so schlimm, denn von allen privaten Windows-Nutzern die ich persönlich
kenne, macht kein einziger regelmäßige Backups. Da wird inzwischen sogar
partieller Datenverlust als "gottgegeben" hingenommen.
Aber das geht jetzt weit am Thema vorbei. Da der Drucker selbst nichts
broadcasted und ich seine IP-Adresse verstellt und vorsichtshalber den
Router-Port gewechselt habe, sollte er "eigentlich" für den
Win10-Rechner nicht mehr sichtbar sein. Außer, seine MAC Adresse
befindet sich irgendwo im Cache des Windows-Treibers.
Vielleicht werde ich doch mal anregen, den Treiber zu deinstallieren...
Port 9100 - das ist doch das schon etwas angestaubte LPR-Protokoll.
Versuch' doch einfach mal, Drucker und Treiber z.B. auf IPP (internet
printing protocol) unzustellen.
Möglicherweise hat MS mal wieder weitab jeglicher Standards versucht,
das LPR etwas zu "erweitern", was dein älterer Drucker evtl. nicht
verträgt ...
Der Drucker ist auch nicht mehr der jüngste, aber er druckt noch
ordentlich und das bis zu 1200 dpi in Farbe. IPP kann er meines Wissens
nach nicht. Unter Windows 8.1 funktionierte der Drucker ja noch und es
geht mir auch nicht darum, ihn unbedingt unter Windows10 zum Drucken zu
bewegen.
Es würde ja auch ohne dedizierten Treiber gehen (der Drucker hat einen
FTP-Server und druckt dort eingehende PDFs). Aber solange es nicht mal
möglich ist, eine Status-Seite (vom Panel aus) auszudrucken, solange der
Win10-Rechner im Netz ist, ist das reichlich witzlos.
Frank E. schrieb:> Port 9100 - das ist doch das schon etwas angestaubte LPR-Protokoll.
Weder LPR (515) noch angestaubt, sondern RAW IP und immer noch absolut
üblich.
Also, De-Installation vom Druckertreiber und auch ein Komplett-Scan mit
dem Virenscanner haben nichts gebracht. Aber ich habe mich mal mit der
Stopuhr hingesetzt und die Intervalle gemessen, in denen sich der
Drucker resettet. Dann habe ich den Drucker abgeschaltet und mit meinem
Laptop "Mäuschen gespielt". Also MAC und IP auf die vom Drucker
gestellt.
Und fast genau 2 Minuten nach der Netzwerkverbindung ging das erste
seltsame Paket ein. Und dann exakt alle 2 Minuten wieder. Sender-IP ist
0.0.0.0, Empfänger-IP 255.255.255.255, Sender-MAC-Adresse ist die vom
Windows 10 Rechner, Empfänger FF:FF:FF:FF:FF:FF. Laut Wireshark soll es
ein HIP Initiator Packet sein, aber das halte ich für eine
Fehlinterpretation bzw. zufällige Übereinstimmung. Denn die IP-Adressen
sind atypisch für HIP und außerdem enthalten die Pakete lt. Wireshark
auch fehlerhafte Prüfsummen. Ich könnte jetzt noch testen ob man mit
einem solchen Paket wirklich den Drucker resetten kann, indem ich es
selbst verschicke. Aber den Aufwand kann ich mir wohl sparen...
Vielleicht findet der Drucker die falsche Prüfsumme und resettet
daraufhin seine Hardware (Selbsttest).
Im der alten Aufzeichnung waren diese Pakete übrigens auch mit drin, nur
habe ich damals nach IP gefiltert und sie damit übersehen.
Entweder versendet Win10 selbst die Pakete oder eine andere Malware,
aber das ist mir letztendlich egal. Die einfachste Lösung wird sein, den
Drucker in ein eigenes Subnetz zu verpacken und einen RPi als Gateway
einzusetzen, der dann die Pakete vom WLAN zum LAN filtert und auch noch
andere Funktionen übernehmen kann (z.B. VPN Gateway)
Falls es jemanden interessiert, die Ursache für die "seltsamen"
Broadcasts habe ich inzwischen nach einiger Sucherei im Netz gefunden.
Eigentlich sind es zwei Ursachen. Zu einem ist es Googles Chrome, der
auf dem Win10-Rechner installiert ist. Der schickt Anfragen wie z.B.
http://gshszsfanu um festzustellen, ob der ISP bei DNS-misses eine
eigene Seite zurücksendet. Und jetzt kommt Windows ins Spiel. Das hat
diese vom DNS mit Fehler quittierten Anfragen erkannt und versucht nun
seinerseits über LLMNR Broadcasts einen Host mit dem Namen "gshszsfanu"
im lokalen Netz zu finden. Da das logischerweise fehlschlägt, wird
nochmals via NetBios (NBNS) mehrmals nach "GSHSZSFANU" gesucht. Also
gibt es von der Seite erst mal eine Entwarnung in punkto Malware (wobei
bei mir Chrome sowieso in diese Kategorie fällt ;-).
Woher aber die "kaputten" Pakete kommen, weiß ich allerdings trotzdem
noch nicht.
Jörg