Wenn die Firewall-State-Table voll ist, fühlt sich ein Netzwerkvorfall oft „diffus“ an: Einzelne Anwendungen brechen weg, neue Verbindungen hängen in Timeouts, während bestehende Sessions teilweise noch funktionieren. Der Grund liegt im Kernprinzip vieler Firewalls: Sie arbeiten stateful und halten pro Verbindung einen Zustand (State) in einer Tabelle, damit Rückverkehr korrekt zugeordnet, Regeln konsistent angewendet und…
Conntrack Exhaustion ist eine der häufigsten, aber am schwersten zu erkennenden Ursachen für „plötzliches“ Netzwerk- oder Service-Fehlverhalten in Linux- und Kubernetes-Umgebungen. Gemeint ist die Erschöpfung der Connection-Tracking-Tabelle (nf_conntrack) im Kernel, die für stateful Paketverarbeitung genutzt wird – etwa durch NAT (SNAT/DNAT), Stateful Firewalls (iptables/nftables), kube-proxy, Service-Mesh-Komponenten oder Node/Ingress-Gateways. Wenn die Conntrack-Tabelle ihr Limit erreicht, können…
Port Scanning in Produktion ist kein exotisches Hacker-Klischee, sondern eine alltägliche Realität in Enterprise-Netzen: Schwachstellen-Scanner, Asset-Discovery, Fehlkonfigurationen, kompromittierte Hosts oder externe Angreifer erzeugen Verbindungsversuche auf vielen Ports und Zielen. Das Problem im Betrieb ist selten das Erkennen an sich, sondern die Low-Noise-Detection: SIEM- und NDR-Systeme sollen relevante Scans zuverlässig melden, ohne den SOC- oder NOC-Workflow…
Eine ARP/ND Storm ist einer der häufigsten Gründe, warum ein eigentlich gesundes Layer-2-Netz plötzlich „zäh“ wird oder partiell ausfällt. Der Effekt fühlt sich oft wie ein zufälliger Performance-Einbruch an: Clients bekommen keine IP, DNS wirkt instabil, VoIP knackt, WLAN-Controller verlieren APs, und Switch-CPUs steigen, obwohl die Link-Auslastung scheinbar niedrig bleibt. Ursache ist nicht „zu viel…
ARP-Spoofing/MITM gehört zu den klassischen Angriffsmustern in lokalen Netzwerken (Layer 2) und ist gleichzeitig eine der häufigsten Ursachen für schwer erklärbare Störungen: „Der Server ist manchmal erreichbar“, „TLS bricht sporadisch ab“, „DNS liefert plötzlich andere Antworten“ oder „nur einige Clients haben Probleme“. Der Kern ist immer ähnlich: Ein Angreifer bringt Endgeräte dazu, falsche Zuordnungen zwischen…
Layer-2-Forensics ist in vielen Incidents der schnellste Weg, belastbare Evidence zu sammeln, weil sich L2-Symptome oft früher zeigen als L3/L7: MAC-Flapping, Broadcast-Spikes, STP-Topologieänderungen, ARP/ND-Anomalien oder plötzlich auftauchende Rogue Devices. Gleichzeitig ist genau hier die Gefahr am größten, den Betrieb unbeabsichtigt zu stören – etwa durch zu aggressive SPAN-Mirrorings, falsch platzierte Taps, überlastete Switch-Control-Planes oder unkontrollierte…
Rogue DHCP bezeichnet das Auftreten eines nicht autorisierten DHCP-Servers in einem Netzwerksegment, der IP-Konfigurationen an Clients verteilt. Das kann durch ein Fehlverhalten (z. B. versehentlich aktivierter DHCP-Dienst auf einem Testsystem) entstehen – oder durch einen absichtlichen Angriff, bei dem ein Täter Clients gezielt mit falschen Einstellungen versorgt. Die Auswirkungen reichen von „nur“ instabiler Konnektivität bis…
Ein MITM Incident Response-Prozess (Man-in-the-Middle) entscheidet im Ernstfall darüber, ob Sie einen Angriff schnell eindämmen oder ob sich der Angreifer unbemerkt zwischen Clients und Services „festsetzt“. MITM-Szenarien sind besonders tückisch, weil sie oft nicht wie ein klassischer Ausfall wirken: Nutzer berichten über „komische Zertifikatswarnungen“, sporadische Login-Probleme, ungewöhnliche Latenz, Session-Abbrüche oder plötzlich veränderte Inhalte. In modernen…
VLAN Hopping ist ein Begriff, der in Security- und Netzwerkteams schnell Emotionen auslöst: Für die einen ist es ein „alter Mythos“ aus der Frühzeit geswitchter Netze, für die anderen ein realer Segmentation-Bypass, der bei falscher Konfiguration jederzeit passieren kann. Die Wahrheit liegt – wie so oft – dazwischen. VLANs sind primär ein Mechanismus zur logischen…
Layer-2-Sicherheits- und Stabilitätsmechanismen gelten in vielen Netzwerken als „Low Hanging Fruit“: schnell aktiviert, sofort wirksam gegen klassische Angriffe (Rogue DHCP, ARP-Spoofing, Loops, MAC Flooding) und oft ohne große Architekturänderungen. In der Praxis sind es jedoch genau diese L2-Controls, die oft Outages verursachen, weil sie direkt im Zugriffspfad der Endgeräte greifen und dabei stark von korrekter…
Got questions? Ideas? Fill out the form below & our specialist will contact you.