TCP Reset und TCP Syn/Ack
 

Hallo Helferleins.
TCP Reset und TCP Syn/Ack, diese beiden Datenpackete werden anscheinend oft von verschiedenen Servern im Internet verwendet. Meine Firewall filtert diese aus und verwirft sie wenn sie, anscheinend unverlangt, ankommen. Ist ja auch richtig so, da diese wohl auch von Hackern verwendet werden um in fremde PC's/Netze einzudringen. Das FW-Protokol ist voll mit solchen Anfragen diversesten Ursprungs.
Und nun meine Frage:
Wozu verwenden seriose Internetanbieter diese Datenpackete? Warum senden sie diese Datenpackete unverlangt? Das Ausfiltern und Verwerfen dieser Datenpackete hat anscheinend keinen Einfluss auf die einwandfreie Funktion beim Internetsurfen.
Es gibt auch genug Internetanbieter, die auch ohne diese Datenpackete auskommen.
Weis wer darauf eine Antwort?
M.f.G. Stz.

Hallo stz!

http://www.irc-security.de/?go=Netwo...tection-System

reicht Dir das zur Erklärung ?

Mike

TCP Reset und TCP Syn/Ack
 

Danke Mike. Ich habe mal kurz in diese Seite hinein geschaut. Nur wird damit meine Frage nicht beantwortet. Ich fragte: Warum verwenden SERIÖSE Internetanbieter diese unverlangten Datenpackete? Ich konnte bisher keine Fehlfunktionen, durch ausfiltern dieser Daten, feststellen. Also Warum, Wozu?
M.f.G. Stz.

Re: TCP Reset und TCP Syn/Ack
 

Ich weis zwar nicht was deine tolle Firewall da filtert. Aber diese Pakete sind (in normalen Mengen) völlig normal.

Genaueres zum Thema Three-Way-Handshake unter TCP kannst du hier nachlesen: http://de.wikipedia.org/wiki/Transmi...ntrol_Protocol

sinn von netzwerken ist nunmal die kommunikation, und damit diese funktioniert müssen nunmal pakete ausgetauscht werden und jeder der mit einem netzwerk verbunden ist wird nunmal solche pakete erhalten, das hat nichts mit hackern oder seriosität zu tun. Ich bin sicher vor deinem haus gehen auch leute vorbei die du nicht kennst und die auch nicht zu dir wollen.

Wenn du genau wissen willst warum, lies dir ein paar faqs zum tcpip protokoll durch.

Add TCP Reset und TCP Syn/Ack
 

Es scheint mir, dass manche Forumsteilnehmer nicht genau lesen, was ich da geschrieben habe.
1. Treten diese Packete nicht in "normalen Maße" auf sondern zu zig-tausenden.
2. Es gibt anscheinend genug Internetanbieter, die es nicht nötig haben diese Packete unverlangt zu senden. Es funktioniert auch ohne.
3. Es handelt sich um die ganz gewöhnliche WinXP-Firewall. Wenn das Protokolieren eingeschaltet wird sieht man die irre Menge an diesen Daten. Mit "PING -a ..." kann man oft feststellen von wem diese Angriffe kommen. Es sind Namen oder IP-Adressen mit denen ich sicher nichts zu tun habe. (Meine HW-Firewall ist dabei natürlich ausgeschaltet.)
4. Meine HW-Firewall sperrt bei unverlangtem Empfang solcher Datenpackete die sendende IP-Adresse für eine einstellbare Zeit, und erst nach einer einstellbaren Anzahl solcher störungen (Threshold). Dadurch ist mir aufgefallen, das auch SERIÖSE Internetanbieter unter gewissen Umständen solche Daten senden, z.B. GMX. Dieser ist gewiss kein Hacker.
Daher nochmals meine Frage:
Wer kennt sich bei Internetprotokolen aus und weiss wozu diese Packete (für friedliche Zwecke) benötigt werden? Beispiele?
M.f.G. Stz.

Also gedroppte Pakte aufgrund von "TCP Not SYN" (=TCP-Verbindung existiert nicht (mehr)) habe ich auch zuhauf, die machen bei mir 50% aller gedroppten Pakte aus.

IMHO gibt es viele Ursachen wie es dazu kommen kann. Eine gute Erklärung, die ich gefunden habe, ist z.B. folgende: Eine TCP Verbindung wird von deinem Rechner (warum auch immer) mit einem TCP-Reset Paket abgebrochen, aber der client sendet weiterhin Daten (vielleicht weil sie schon unterwegs waren), die dann aber zu keiner aktiven TCP Verbindung mehr gehören und deswegen von der firewall verworfen werden.


Bei mir tritt es vermehrt ein, wenn ich eine Tauschbörse SW laufen habe und da gibt es ja viele Gründe warum eine Verbindung reseted wird. :D

Bei Webservern sind's vielleicht irgenwelche http keep-alive pakete die zu alt bzw. obsolet sind.


Mit Hacker/Cracker usw. hat dies aber überhaupt nichts zu tun.

Grüße
maxb

Wir haben alle richtig gelesen, nur du scheinst die antworten nicht zu verstehen, bzw. nicht verstehen zu wollen.

tcp syn und ack pakete werden dazu verwendet um tcpip verbindungen aufzubauen. Oft sind es viren die nach verseuchten pcs suchen und ganze ipranges scannen. Trotzdem ist das zeug harmlos und gehört mittlerweilen zum internet wie der lärm zur großstadt.

ad1: woher weist du wieviel normal ist wenn du nicht mal weist was sie bedeuten? Bei x millionen pcs, von denen wiederum millionen mit viren verseucht sind sind tausende einträge mehr als normal.

ad2: :rolleyes:

ad3: derartige logs ohne filter kannst komplett vergessen, solche logs bestehen nun mal zu 99% aus irrelevanten informationen.

ad4: woher kannst du wissen ob ein pc mit einer gmx eigenen ipadresse nicht mit einem virus infiziert ist?

ad4 ist wohl das dümmste feature das eine firewall überhaupt haben kann, das schreit ja richtig nach DOS Attacke mit gefälschter source IP :D

schön, wenn sich fragenstellende nicht die mühe machen die infos die sie bekommen auch richtig verarbeiten zu versuchen. noch schöner wenn die eigenen unzulänglichkeiten auf die antwortenden abgewälzt werden....

ad 1.: mein gott, wieviel pakete glaubst du flitzen täglich durchs internetz? vielleicht wird grad dein ip range ganz heftig von irgendwelchen ddos armeen heimgesucht oder gepingt oder es sind bei deinem provider wieder eine menge zombie kisten mit würmern unterwegs...

ad 2.) (fast) JEDER computer der mit deinem computer über tcp plaudern will, wird zum verbindungsaufbau einen three way handshake (siehe wiki artikel...) benutzen, d.h. ob seriös oder nicht is wurscht, ein verbindungsaufbau im tcp protocol wird durch ein syn paket initilisiert... d.h. das inetz so wie wir es heute kennen würd ohne syn/ack sicher ganz gut funktionieren....;-) tcp funkt nun mal so und wenn du surfst verschickst (und empfängst) du auch solche pakete...

ad 3.) der punkt "gmx, weil ping -a..": ip absender adressen kann man wunderbar fälschen. gab da mal ein bild auf einer mircosoft konferenz, wo die absender ip adressen mit dem höchsten angriffspotential dargestellt wurden. unter den top 3 war eine ip adresse die nichtmal theoretisch möglich war, microsoft selbst und ich glaub eine aol adresse...

ad 4.) diese funktion ist toll und ist dafür da um denial of service attacken über ping floods zu verhindern. aber auch das wird in den beiden verlinkten artikeln erklärt

soda und um abschliessend nochmal deine frage zu beantworten:
syn pakete werden verwendet um eine tcp verbindung aufzubauen (egal welche, egal ob seriös oder unseriös, das ist notwendig für das funktionieren der tcp welt, also auch surfen, mailverkehr usw...)
ack pakete werden verwendet um den verbindungsaufbau zu bestätigen
und reset pakete werden verwendet um einen verbindungsabbruch herbeizuführen.

böse variante 1:
ein zielcompi wird per millionen syn pakete überflutet und so (grob gesagt) vom netz genommen weil die nw karte bzw. das os nicht mehr weiss was sie tun soll und unter last zusammenbricht.

böse variante 2:
eine beliebte attacke bzw. "spionage" möglichkeit ist ein syn gefolgt von einem reset zu senden, wodurch für den zielrechner keine verbindung zusatnde kommt, aber eventunnel infos übder den compi ausgelesen werden können.

seriöse variante 1:
du willst www.google.at ansurfen, dein rechner schaut im dns nach, wer isn das und versucht sich mit google.at auf port 80 zu verbinden und verwendet dafür einen three way handshake (syn, ack....)

seriöse variante 2:
du willst unterwegs auf deinen rechner zugreifen und baust einen vpn tunnel auf -> du schickst einen syn an deine ip adresse..... usw

Lieber KKDU.
Ihr Vortrag war ja ganz schön, er hat mir auch einige Informationen geliefert. Ich habe nie behauptet von Internetprotokollen viel zu verstehen. Und weil ich eine Diskrepanz im Verhalten verschiedener Internetserver festgestellt zu haben glaube wollte ich mit darüber informieren.
Also bitte nicht schimpfen.
Das sich im Internet eine Menge "Gsot" herumtreibt ist ja schliesslich bekannt, darum gibt es ja auch so viele Sicherheitsmassnahmen. Ich bin auch kein Paranoiker, auf meinem PC gibt es nichts zu spionieren. Ich liebe es nur nicht so sehr durch solches "Gsot" belästigt zu werden.
Zum Thema:
Mir ist nur aufgefallen, dass es
mit vielen Servern nie Probleme mit meiner Firewall gibt,(3com Office Connect VPN Firewall), mit einigen anderen Servern schon. Also muss wohl logischerweise irgendwo ein Unterschied sein. GMX hat es sicher nicht nötig seine IP-Adresse hinter irgendwelchen Bezeichnungen zu verstecken, und doch sperrt die FW den GMX immer wieder während einer Verbindung. Nicht so beim WCM, ORF, und den meisten anderen. Das heist natürlich nicht das GMX versucht meinen PC anzugreifen. Aber er verwendet das Protokol wohl etwas anders. Und darauf bezog sich meine Frage.
Natürlich können Sie nicht wissen was GMX macht, diese werden das wohl kaum jedem auf die Nase binden.
Aber es wohl müssig weiter nach einer derart speziellen Antwort zu forschen. Das wissen wohl nur Programmier, die solche Software herstellen.
Ich hoffte auf einige, den Unterschied erklärende, Antworten.
Besten Dank für die Antwort.
M.f.G. Stz.

lieber herr stz (von mir, aus, dann halt per sie...),
der ton macht die musik und wer selbst den ersten stein wirft, darf sich über das echo nicht wundern....(jaja, vielleicht ein paar sprichwörter vermischt, aber gut*g*) und meldungen wie "Es scheint mir, dass manche Forumsteilnehmer nicht genau lesen, was ich da geschrieben habe." dürften nicht gerade zu begeisterungsstürme bei den helfenden führen....

langsam frage ich mich, ob sie es nicht verstehen wollen oder nicht verstehen können? ok, also nochmal:

1. es ist ganz normal ettliche tausend (und sogar millionen) syn packets zu bekommen (wie es schon vorangegangen mit lärm im internet verglichen wurde)
2. es ist kein problem der server die auf ihrer firewall auftauchen, denn die besitzer der server wissen nix davon. es ist im grossen bösen internetz kein problem eine ip adresse zu fälschen, was mich auch zu
3. führt: gmx hat vermutlich etwas mehr zugriffe als orf und wcm zusammen. genauso wird aol mehr internetkunden haben als alle österreichischen provider zusammen. bekanntere seiten (vor allem computer und sicherheitstechnisch relevante seiten) werden viel öfter als gefälschte absenderadresse verwendet (schaut ja gleich viel wichtiger und cooler aus, wenn ein portscan von microsoft kommt....) als hinzundkunz.at.

aber vielleicht vorher noch grundlegend: im internetz gibt es eigentlich nur ip adressen. (nicht) nur weil menschen zu doof (bzw. zu bequem, tät mich auch nicht freuen ohne dns zu surfen*g*) sind sich lange zahlennummern zu merken und namen doch viel besser sind, hat man das domain name system (dns)eingeführt. dank der dns server (die diese nummern-namen übersetzung machen), müssen sie nur www.wcm.at in ihrem browser eingeben und nicht 194.112.128.106. diese nummern sind aber kein geheimnis, sonst würd das internet nämlich nicht funktionieren, d.h. jeder seppl kann nachschauen welche ip adresse welchem namen (und vice versa) entspricht. wenn jetzt der böse wurm/virus/hacker/scriptkiddie kommt, wird er es tunlichst vermeiden seine eigene ursprungsadresse anzugeben, sondern wird auf seinen brief (mit dem er ihren postkasten voll machen will) die absenderadresse von microsoft draufschreiben, davon weiss microsoft aber nix => die flodding attacke (und von nix anderen reden wir in wirklichkeit hier) scheint von microsoft zu kommen und sie denken sich: böse microsoft. in wirklichkeit steckt aber irgendwer anderer dahinter. folglich sind die probleme der server von denen sie schreiben schlicht und ergreifend deren bekanntheit und nix anderes.

soda, ich hoffe ich hab mich verständlich ausgedrückt

nur wegen der zahlen:
auf meiner hw firewall sehe ich 653mio empfangene pakete am wan interface. am lan interface sind aber nur mehr 4,1mio rausgekommen, den rest hat die fw rausgeworfen => 0,6% nutzdaten gegenüber 99,4% müll..... (uptime des gerätes vermutlich viertel bis halbes jahr)

Also das Verhältnis würde mich aber jetzt stutzig machen. Bei mir lag's wenigstens 3:1 für die Nutzdaten (in den letzten 24h). :D

Da mich das Thema interessiert und ich auch betroffen bin, habe ich mal versucht die Sache nachzustellen. :rolleyes:

Dazu habe ich die "Firewall" auf live Protokollierung gestellt und einen Sniffer auf meinem WAN Interface gestartet, danach die Seite www.gmx.at aufgerufen.

Und sieha da, von den 911 Pakten vom GMX server hat die Firewall eines als "TCP NOT SYN" verworfen. Mit der port nummer habe ich dann im Sniffer den http TCP link herausgesucht, der diesen Fehler verursacht und "analysiert".

Das Beenden der http TCP-Verbindung sollte so ablaufen:
http://upload.wikimedia.org/wikipedi...p-teardown.png


Hier der http link der den Fehler verursacht hat:
http://members.blizznet.at/maxb/p1.jpg

Die letzten 5 Pakete im Detail:
Server setzt FIN flag
http://members.blizznet.at/maxb/p2.jpg

Mein PC antwortet mit ACK
http://members.blizznet.at/maxb/p3.jpg
und FIN wie vorgesehen
http://members.blizznet.at/maxb/p4.jpg


welches durch ein ACK vom GMX server bestätigt wird.
http://members.blizznet.at/maxb/p5.jpg

Diese TCP Verbindung ist jetzt beendet!!!



Doch aus irgendeinen Grund schickt der GMX server mit deutlicher Verspätung ein TCP RESET :eek:
http://members.blizznet.at/maxb/p6.jpg

...und das ist genau das Paket welches meine Firewall (zurecht) nicht mehr animmt. :rolleyes:


Wie es dazu kommt, kann ich nicht beantworten, dazu muss man wahrscheinlich sehr ins Detail der jeweils verwendeten TCP/IP stacks gehen.

Ich hoffem ich konnte etwas mehr für Verwirrung sorgen :ms:

Grüße
maxb

add TCP Reset und TCP Syn/Ack
 

Lieber KKDU.
MAXB hat meine Anfrage genau auf den Punkt gebracht. Mir ist vollkommen klar, dass eine Menge Datenmüll in Internetraum herrumschwirrt. Das Namen leichter zu merken sind als IP-Adressen ist auch klar. DNS wurde ja deswegen erfunden, um den Menschen das "sich im Internet bewegen" leichter zu machen. Leider kann es auch zu "unfriedlichen" Zwecken missbraucht werden.
Wie, im groben Überblick so ein sauberes Internetprotokol verläuft weiss ich auch, ich habe in meinem Beruf zwar nicht TCP-Protokole Programmiert, wohl aber SMPP-Protokole (wird im SMS-Verkehr verwendet). Dieses ist durchaus ähnlich dem TCP-Protokol.
Mich interressiert der UNTERSCHIED zwischen jenen Servern, welche die Datenpackete TCP-SYN/ACK/RESET, anscheinend excessiv, verwenden und jenen die es nicht tun. Damit will ich natürlich nicht behaupten, dass die einen spionieren wollen. Ich frage mich und die Forumsteilnehmer, ob jemand weiss warum solche Datenpackete, für mich scheinbar ohne jeden Sinn, verwendet werden? Vielleich haben sie einen Sinn. Und dafür wollte ich eine Erkärung finden. Auch MAXB hat das erkannt und seine Mittel zur Nachforschung eingesetzt. Und siehe da: er kommt zum gleichen Ergebniss wie ich.
Aber wie ich schon sagte: GMX und andere Provider werden das wohl kaum jedem auf die Nase binden.
Ich hoffe, dass ich hiermit über meinen Wissensdurst Klarheit geschaffen habe. Ich wollte natürlich niemandem "auf den Schlipps" treten. Bitte um Nachsicht, falls Du dass so aufgefasst hast.

Nochmals: Bitte nichts für Ungut.
M.f.G. Stz.

afaik ist ein reset immer eine antwort, somit muss zuerst etwas von dir kommen.

Wenn zb. dein netz ein packet schickt welches nicht zur bestehenden verbindung gehört (zb. ein SYN welches an die zuvor geschlossene verbindung adressiert ist) kommt ein RST als antwort. Kanns sein das zwischen dem letzten und vorletzten bild was fehlt?

Welche firewall, sidewinder?

betonung liegt aber auf AFAIK ;) .

Nein, fehlen tut nix. Das vorletzte und letzte Paket vom GMX Server haben auch beide die ACK 1273730252, also die Antwort auf das letzte Paket von meinem Rechner mit der SEQ 1273730251.

Das der Sniffer etwas nicht erfasst kann ich mir auch nicht vorstellen, denn der sieht ja gar nicht sowenige Pakete die für meine Nachbarn bestimmt sind :lol:


Ich könnte den selben Test mal mit einer anderen Seite machen. Vielleicht kommt da das gleiche raus. k.A. so wichtig ist das auch wieder nicht, ich hab viel größere Probleme mit der firewall.

...und nein, keine sidewinder (musste googlen um zu sehen was das ist ;) )

lieber szt,

ok, interessant wäre es, ob du diese riesen anzahl von paketen nur bekommst, wenn du dich aktiv im internet bewegst, oder ob sie auch kommen wenn dein rechner offline ist. wenn man meinen fall hernimmt (650 mio zu 4,1 mio) ist das recht leicht zu erklären, da ich nicht 24/7 einen rechner im netz habe, meine (hardware) firewall aber trotzdem 24/7 läuft. da ich im chello netz zu hause bin, bekomme ich unzählige syn/ack/rst pakete, die schlicht und ergreifend müll vom internetz sind, da diese pakete nur bei einem verbindungsaufbau bzw. beim versuch eines verbindungsaufbaus stattfinden.
d.h. in den meisten fällen sind das unverlangte pakete, wo die herkommen ist mir auch relativ wurscht, weil du davon ausgehen kannst, dass kein seriöser anbieter mal schnell ein paar millionen pakete (und damit irrsinns traffic) durch das internet bläst. als ich mir die ursprungsadressen der entsprechenden connections angeschaut habe, habe ich auch dinge wie cisco, microsoft und chello (neben ettlichen nicht mehr aufzulösenden) gefunden, allerdings bin ich mir sicher, dass weder cisco noch microsoft sich auf verdacht auf meine öffentliche ip verbinden wollen. nachdem es in den meisten fällen ein muster der abgefragten ports gibt, gehe ich von portscans aus, deren absender gefälscht sind. da mittlerweile die meisten firewalls/router einen simplen connection scan abfangen, wurden diese scans weiterentwickelt. ein beispiel ist der halboffene syn scan, wo der "angreifer" ein syn paket zur initierung schickt, auf die antwort des zieles wartet und dann gleich ein rst nachschickt. dadurch wird keine verbindung aufgebaut, der angreifer weiss aber über die offenen ports bescheid.
all diese spiele sind im chello netz sehr beliebt, da dort die meisten user 24/7 online sind (und mit etwas glück sich auch die rechner per wol hochfahren lassen...;-)). demnach gibt es für die angreifer (in dem fall rede ich lieber von skript kiddies) jede menge potentiele opfer bzw testumgebungen für ihre spielereien.

lange rede kurzer sinn: die pakete erhältst du von rechnern die mit deiner ip adresse kontakt aufnehmen wollen. wenn dein rechner abgedreht ist und die pakete kommen trotzdem, können es nur unverlangte sein = datenmüll und nix seriöses.
deine frage zu warum es manche tun und manche nicht:
immer wenn zwei computer über tcp miteinander quatschen, werden diese pakete verwendet. das ist auch kein problem. zeitweise sind die implementierungen des proztocols scheinbar nicht ganz sauber und du hast bei manchen servern diese seltsamen probleme, bei anderen wieder nicht. dennoch glaube ich, dass 90% der von dir beschriebenen pakete reiner müll sind. hast du es schon ausprobiert deine kiste abgedreht zu lassen und nacher dein router log anzuschauen? hast du schon deine kiste hochgefahren und ohne aktive programme eine stunde stehen zu lassen? dann hast du grunddaten, wo du davon ausgehen kannst, dass es nur müll ist. wenn du dann eine stunde "normal" im netz unterwegs bist (surfen, mails, wasauchimmer) und dann nochmal die datenmenge anschaust und vergleichts mit der leerlaufmenge, sollten die von der fwall verworfenen pakete nicht exorbitant gestiegen sein, oder?

@kkdu - ich glaube nicht, das stz den herkömmlichen Paketmüll aus dem Internet meint.


Ich habe den Versuch jetzt mit WCM, DerStandard und 3x mit der GMX Seite wiederholt. Bei WCM und Standard war nix, bei GMX immer das gleiche verhalten und zwar immer "an der gleichen" Stelle, dann wenn das 1x1 transparent GIF "infopixel" von meinem browser angefragt wird
und der GMX server mit
antwortet.

Nur dieser http link wird zusätzlich mit einem TCP RST Paket terminiert, was vielleicht kein Zufall ist.

Wozu GMX das 1x1 GIF einsetzt, zum Webdesign oder als Web-Bug, wäre interessant zu wissen. Vielleicht findet sich ja noch ein Web-Profi.

Grüße
maxb

@stz - hast du noch andere "verdächtige" Seiten, vielleicht lässt sich ja ein System rausfinden :D

@maxb
langsam glaub ich das auch, allerdings wärs gut das sicher zu wissen, d.h. zu testen ob auch ausgeschalteter re´chner, eingeschaltet keine aktivität, eingeschaltet und aktivität....

@1 pixel gif
das wurde (zu meiner webdesign zeit*g*) dafür verwendet um das design anzupassen, da 1pixel gifs von allen browsern richtig bzw. gleich behandelt werden, nämlich als grafik. wenn du z.b. einen table baust und eine zelle leer lässt, weil du sie eigentlich als abstand verwenden willst, benehmen sich unterschiedliche browser unterschiedlich in der verarbeitung. oder um z.b. einen genau 2 pixel grossen abstand zu generieren....;-)

ob das heute noch immer so ist, weiss ich nicht, könnt mir aber denken, dass es heute nicht ie und netscape sind, die sich da so unterschiedlich verhalten, aber ie und firefox*g*

könnt mir denken, dass es vielleicht probleme bei manchen verbindungen gibt, wenn ein 1x1 pixel grosses gif geladen wird, weil es (dateigrössentechnisch) so klein ist, dass es zu schnell heruntergeladen wird und dadurch der automatische verbindungsabbau nicht schnell genug funktioniert....aber ist rein spekulativ *g*

add: TCP Reset und TCP Syn/Ack
 

@maxb.
Nun bin ich wieder zurück, musste mal schnell Arbeiten gehen.
Ich habe mit wenigen anderen Servern auch solche Probleme gehabt. Allerdings habe ich mich nicht weiter darum gekümmert, denn es war mir nicht wichtig genug. Der GMX ist wichtig, da ich dort eine Mailbox habe. Und jedes Mal bei irgend einer Verwaltungstätigkeit, insbesondere bei der Behandlung des SPAM-Ordners trat die Sperre duch die FW auf. Und jedes mal war im FW-Protokol dieses TCP ... als Ursache für die Sperre, die FW wertete das als Angriff. Darum versuchte ich mich schlau zu machen was für einen Grund GMX haben könnte sich so zu verhalten.
Daher kann ich im Moment keinen weiteren Server mit diesem Verhalten nennen.

Aber mir scheint, dass wir dieses Problem nicht weiter klären können, da es sich hier wahrscheinlich um die Programmiertechniken der Programmierer handelt. Und darauf haben wir bestimmt keinen Einfluss. Bei keinem Provider.

Trotzdem vielen Dank für Ihre Bemühungen MAXB.

@KKDU.
Ob ich viele dieser Packet im Offlinezustand bekomme kann ich nicht sagen. Der PC ist ja abgeschaltet, und die FW hat nicht so viel Speicher. Ob sie mal so etwas auch bei abgeschaltetem PC bekommt und dabei sperrt kann ich nicht erkennen, es müsste schon ein grosser Zufall sein nach dem Einschalten des PC in der FW soetwas zu finden. Und dann müsste es auch noch eine für mich relevante IP-Adresse betreffen.
Ausserdem sind mir diese Packete auch ziemlich egal, da ich dadurch nicht behindert bin.
Wenn ich die FW inaktiviere kommen viele Packete auf den PC, sie werden dann von der, dann aktivierten, WinXP-FW abgefangen. Das stellt nur eine PC-Belastung dar, daher die HW-FW zwischen PC und Modem (Chello) um eben diesen Datenmüll möglichst unwirksam zu machen.

@Alle:
Nochmals vielen Dank an alle Diskutanten, ich habe doch auch einiges daraus gelernt.
Ich betrachte die Diskussion um diese TCP-Packete nun als geschlossen, was natürlich kein Hinderniss sein soll wenn weiter darüber geschrieben wird, ich werde es gerne mitlesen.
M.f.G. Stz.

Selten so gelacht, wie hier! :lol: