ChelloFragen
 

hi

1)
mich wuerde nur interessieren was ihr mit monatl. downloadlimit (sei es jetzt 8, 10, 20 oder 30GB) meint. meint ihr bei dieser grenze wirklich nur download oder den datentransfer (download+upload)?

2)
nicht wirklich ein problem, mich interessiert es nur ...
Wenn ich all meine programme schließe habe ich trotzdem noch einen transfer (download) von 0,5 bis 1,5kb/sec - klar, es ist nicht viel, aber so kommen immerhin 0,5 bis 1GB im monat zusammen. kann mir wer erklaeren welches programm da noch downloadet oder ist das einfach so bei chello? versteht mich nicht falsch, es ist wirklich nicht schlimm, aber ich bin von einem 56K-AnalogModem zu chello gewechselt und da war 1kb/sec immerhin 1/5 meiner bandbreite :)

danke
michi

Normal ist das IMHO nicht. Versuch mit z.b. http://www.sysinternals.com/ntw2k/source/tcpview.shtml herauszufinden, welches Programm dies verursacht.

also mit dem programm seh ich noch folgendes

LSASS.EXE (Remote Address: *.*)
mstask.exe (LISTENING)
mysqld-nt.exe (LISTENING)
svchost.exe (LISTENING)

ganz viele System:8 - Prozesse auf LISTENING und TIME_WAIT

und ab und zu mal die SERVICES.EXE mit einem gruenen balken auftauchen

Keine 'Established'?
Mit welchem Programm misst du den Traffic?

kb = kbit oder kbyte?

DU Meter
aber das hab ich ja fuer den test dann auch geschlossen und nur auf den status der netzwerkkarte geschaut (das icon im systray) - krieg ich trotzdem noch download von 0,5 bis 1,5kb zam

hab jetzt SpyBot mal drueberfahren lassen. hab auch nichts gebracht, obwohl er einige sachen entfernt hat

Tcpview zeigt keine 'Established'-Verbindungen an?
Hast ein LAN?
Könnte es sein, daß DU-Meter den Traffic von Blaster-Verbindungsversuchen/etc. misst?

nein, wenn alle programme geschlossen sind nicht

auf der netzwerkkarte haengt das chello modem. und von DU Meter lass ich mir nur diese netzwerkkarte anzeigen.

virus ist auch keiner oben

:confused: Seltsam.

Mir fällt nur mehr ein, mit Ethereal den Traffic capturen und schauen was es ist.

werd ich gleich machen

hab jetzt bei der firewall wieder alles auf "ask" zurueckgestellt und da hat DU Meter auch noch was angezeit, obwohl ich kein outgoing und incoming traffic erlaubt hab.

auch nach dem druecken von "stop all traffic" bei der firewall sind die 0,5 - 1,5kb/sec noch immer da :confused:

wie schauts denn bei den anderen chello usern aus wenn sie alle programme schließen. ladet der pc noch immer was runter mit der chello netzwerkkarte?

Bei mir nicht.

ok, hab das programm jetzt eine halbe minute laufen lassen und hab ueber 200 ARP anfragen - das ist nicht normal, oder?

17 TCP und 4 UDP warn auch dabei, aber wie gesagt ueber 200 ARP

sind uebrigens staendig so viele ARP requests

jetzt warns sogar ueber 300 in einer halben minute

ich schaetz mal die machen den incoming traffic, oder?
outgoing hab ich aber keinen traffic

und nur mal so eine ueberlegung...

ein so ein arp request hat 60 bytes (steht zumindest beim ethereal)

60 bytes * 300 requests = 18kb
18kb / 30sec = 0,6k/sec


nur ... von wo kommen die?

http://de.wikipedia.org/wiki/ARP

Nur warum so viele? Welches OS verwendest du?

ja, was arp heißt ist mir bekannt :)

ich hab Win 2000 Prof.

ich werd bei gelegenheit mal schaun ob ich beim Windows 98 das gleiche problem habe.

http://www.wcm.at/forum/showthread.p...arp#post213854


Der Thread ist aus 2001.


HTH
g17

Schau mal was 'arp -a' sagt. Vielleicht hilft ein löschen ('arp -d *') des Arp-Cache?

hast du netbios aktiviert?

@g17
danke fuer den link
virus ist es aber keiner und die prozessorauslastung passt auch

@flinx
im arp table war nur ein eintrag, nach dem loeschen war er sofort wieder da

@frazzz
nein, ist nicht aktiviert

traffic im leerlauf ist definitiv nicht normal.



maybe es läuft ein scv (nicht svc)?

__________________________________________________ _________
@g17
danke fuer den link
virus ist es aber keiner und die prozessorauslastung passt auch
__________________________________________________ __________

Eh net, das ist nur damals dazugekommen,der hohe Arptraffic ist bei Chello schon immer, nur hinter einer guten FW od.Router, siehst ihn nicht siehe auch aus dem Nov.
http://www.wcm.at/forum/showthread.p...s&pagenumber=1

Nur ist damals kein Feedback gekommen ob es Arps waren.


g17

Vielleicht hilft auch:
http://www.synapse.de/regcheck/ger/r...ReferencedLife
Aha, wusste ich nicht. Muss ich gleich mal checken. :)

Schaut gut aus die Site.
Bookmark.

THX
g17

wenn das was nutzt...

Wenn ich tcpdump richtig eingesetzt & interpretiert habe, dann kann ich nicht von 'hohen' Arptraffic bei Chello sprechen. :confused:

Ab wann ists eigentlich 'hoch', gibts da eine Daumen*Pi=Regel?

@flinx
ich finde diese eintraege nicht mal in meiner registry

@frazzz
du meinst eine scvhost.exe statt svchost.exe?
nein, laeuft nicht.

@g17
was kann man tun gegen so viele ARP requests?
bzw. wieso ist das nicht bei allen chello usern? oder warum ist es bei anderen noch schlimmer?

Gut. Ich hab sie auch nicht, aber es hätte vielleicht sein können, daß irgend ein Programm diese erstellt hat und ev. 'seltsame' Werte eingetragen hat.

ja, waere moeglich

auf wieviel ARP requests kommst du so in einer halben minute?

~15/minute.

nein, das ist dann nicht viel

bei mir sins wie gesagt so um die 500 pro minute (wenn sonst kein programm laeuft)

hm...

antitrojan fällt mir noch ein..

glaubst dass das ein trojaner ist?
mein virenscanner findet nix.

welches programm meinst du genau?
link büdde

zbhttp://www.sharewareorder.com/Anti-T...load-12719.htm

ok, bin am scannen

melde mich spaeter wieder

werd jetzt mal weggehn und den comp. ruhen lassen :)

__________________________________________________ _________
@g17
was kann man tun gegen so viele ARP requests?
bzw. wieso ist das nicht bei allen chello usern? oder warum ist es bei anderen noch schlimmer?
__________________________________________________ _________

Nichts. Warum es bei den einen mehr und bei den anderen weniger ist liegt vielleicht am Netzsegment.

Habe die damaligen Threads gesucht aber leider nicht mehr gefunden das einzige was noch da ist:

http://groups.google.com/groups?q=Da...eja.com&rnum=1

Und ein sehr guter Artikel über Kabelnetz u. Arp

http://groups.google.com/groups?q=ar...4ax.com&rnum=1


g17

PS.: Vielleicht finde ich noch etwas bei mir auf einer
Platte

Interessant wäre noch zu wissen, ob die Arp-Requests von deinem Rechner initiert werden oder zu deinem Rechner kommen?

Kommen, denn die wenigen Broadcasts die der eigene Rechner verschickt sehe ich ja wenn ich einen Sniffer laufen habe, und ich verwende relativ oft einen schau mir z.B. immer bei einen neuen Prog an was es genau tut etc..

g17

das antitrojan hat einen trojaner gefunden (war bei einer battlefield map dabei), jetz issa weg, hat aba auch nichts gebracht ...

zu den arp requests ...

die source address (mac address) ist immer die gleiche, aber es ist nicht die meiner netzwerkkarte (???) - destination ist immer FF FF FF FF FF FF (broadcast)

bei den ipadressen steht immer "Who has xxx.xxx.xxx.xxx - Tell xxx.xxx.xxx.xxx" und da steht fast nie die gleiche ipaddress (auf beiden seiten)

-----

ein freund hat mir geraten die ports 137, 138 u 139 zu sperren, aber das ist ja NetBIOS zeugs und das ist sowieso deaktiviert bei der netzwerkkarte, hat also auch nichts gebracht.

du cross-postest auf geizhals.at...

aber wie schon dort geschrieben - check ob die source MAC die deines gateways is...

jo, ist ja nichts schlimmes wenn ich cross-posten tu, oder?

also - ja, die source MAC von den ganzen ARP broadcasts ist die MAC adresse von meinem gateway.

ich hab heute mal bei meiner freundin geschaut ... die hat 3000 (dreitausend) ARP requests pro minute - das sind dann schon so um die 3kb/sec im schnitt...

was kann man da wirklich dagegen machen? oder zaehlt das nicht zum datentransfer?