WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Kabel-Internet Verbindung ständiger Dateneingang? (http://www.wcm.at/forum/showthread.php?t=150510)

regitnig 16.11.2004 12:28
Kabel-Internet Verbindung ständiger Dateneingang?
 
Hallo !

Ich hab da eine Frage an die Netzwerk und Sicherheits - Gurus:

Ich habe eine Internet Kabel Anbindung (nicht Chello, aber so ähnlich vom lokalen Kabelnetz Betreiber), die auch wunderbar funktioniert. Ich bemerkte aber im Taskmanager / Netzwerkmonitor, dass permanent Daten eingehen, auch wenn keinerlei Aktivitäten seitens IE oder Outlook laufen. Laut Netzwerkmonitor im Taskmanager sind das meist Nicht-Unicasts (was auch immer das ist?!).
Wenn ich das Kabelmodem ausshalte ist das natürlich weg, allerdings bleibt ca. alle 5 Sekunden ein minimaler Datenausgang übrig. Ich habe mit meinen Programmen (siehe unten) keine Probleme feststellen können. Auch NetworkActivePIAFCTM 1.5 zeigt mir keine Pakete an.
Einen Screenshot vom Netzmonitor häng ich zur Verdeutlichung an

Ist so ein minimaler Datenstrom in einem Kabel-Internet normal?
Sind das Portscans oder sonstige schlimme Dinge?
Wie kann ich mehr darüber herausfinden?

Ich habe Win XP SP2 mit aktivierter Firewall, Virus Scan Enterprise / Mc Affee 7.1 mit aktuellem dat file, Adaware, Spybot und SpySweeper. Ist schon fast paranoid, dass man soviele Proggies braucht um heutzutage noch einigermaßen sicher im Netz zu sein:-((

flinx 17.11.2004 09:26
Zitat:
Sind das Portscans oder sonstige schlimme Dinge?
Vermutlich das meiste Infektionsversuche von verseuchten Rechnern. Ist IMHO normal.
Zitat:
Wie kann ich mehr darüber herausfinden?
http://www.ethereal.com/ bzw. Firewall-Logs.

regitnig 17.11.2004 10:22
OK Danke!

Das klingt ja beruhigend.
Kannst Du mir evtl. auch noch erklären was diese kleinen peaks (im Bild links) bei ausgeschaltetem Modem zu bedeuten haben?

flinx 17.11.2004 18:43
Zitat:
Kannst Du mir evtl. auch noch erklären was diese kleinen peaks (im Bild links) bei ausgeschaltetem Modem zu bedeuten haben?
Nein, nur raten (DHCP, DNS, ????). :) Sniff mit Ethereal mit, dann weisst du es genauer.

regitnig 17.11.2004 21:19
Ich habe nun ethereal ausprobiert:
der permanente Datenstrom ist im ARP Protokoll
Source: 62.218.197.1
Destination: broadcast
Info: who has 62.218.196.48 tell 62.218.196.1
Die Adressen ändern sich in jedem Packet!

Also soweit ich das interpretieren kann fragt da ein Server alle Computer ab welcher eine bestimmte Adresse benutzt.
Wozu dient das ?

Die "kleinen" peaks (bei ausgeschaltetem Modem haben folgenden Inhalt:
ARP Protokoll
Source: 192.168.3.60 (Anm.:eigene IP im Netz)
Broadcast
Who has 192.168.3.1 tell 192.168.3.60

Und was sucht da mein Rechner?

Übrigens herzlichen Dank für den Tip Etherreal zu probieren. Das bringt offensichtlich alles ans Tageslicht!

regitnig 17.11.2004 21:33
192.168.30.1 ist übrigends der Gateway

regitnig 17.11.2004 21:53
Also bei der 68.218....IP Adresse handelt es sich nach erfolgreichem Ping und tracert um: gw198.host."meinprovider".at

Für was macht dieser GW eine derartige broadcast Abfrage?

Wenigstens weiß ich jetzt, dass es sich nicht um irgendwelche böswilligen Angriffe handelt.


Alle Zeitangaben in WEZ +2. Es ist jetzt 07:16 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag