Kabel-Internet Verbindung ständiger Dateneingang?

regitnig · 16.11.2004, 12:28

Hallo !

Ich hab da eine Frage an die Netzwerk und Sicherheits - Gurus:

Ich habe eine Internet Kabel Anbindung (nicht Chello, aber so ähnlich vom lokalen Kabelnetz Betreiber), die auch wunderbar funktioniert. Ich bemerkte aber im Taskmanager / Netzwerkmonitor, dass permanent Daten eingehen, auch wenn keinerlei Aktivitäten seitens IE oder Outlook laufen. Laut Netzwerkmonitor im Taskmanager sind das meist Nicht-Unicasts (was auch immer das ist?!).
Wenn ich das Kabelmodem ausshalte ist das natürlich weg, allerdings bleibt ca. alle 5 Sekunden ein minimaler Datenausgang übrig. Ich habe mit meinen Programmen (siehe unten) keine Probleme feststellen können. Auch NetworkActivePIAFCTM 1.5 zeigt mir keine Pakete an.
Einen Screenshot vom Netzmonitor häng ich zur Verdeutlichung an

Ist so ein minimaler Datenstrom in einem Kabel-Internet normal?
Sind das Portscans oder sonstige schlimme Dinge?
Wie kann ich mehr darüber herausfinden?

Ich habe Win XP SP2 mit aktivierter Firewall, Virus Scan Enterprise / Mc Affee 7.1 mit aktuellem dat file, Adaware, Spybot und SpySweeper. Ist schon fast paranoid, dass man soviele Proggies braucht um heutzutage noch einigermaßen sicher im Netz zu sein:-((

flinx · 17.11.2004, 09:26

Zitat:

Sind das Portscans oder sonstige schlimme Dinge?

Vermutlich das meiste Infektionsversuche von verseuchten Rechnern. Ist IMHO normal.

Zitat:

Wie kann ich mehr darüber herausfinden?

http://www.ethereal.com/ bzw. Firewall-Logs.

regitnig · 17.11.2004, 10:22

OK Danke!

Das klingt ja beruhigend.
Kannst Du mir evtl. auch noch erklären was diese kleinen peaks (im Bild links) bei ausgeschaltetem Modem zu bedeuten haben?

flinx · 17.11.2004, 18:43

Zitat:

Kannst Du mir evtl. auch noch erklären was diese kleinen peaks (im Bild links) bei ausgeschaltetem Modem zu bedeuten haben?

Nein, nur raten (DHCP, DNS, ????).

Sniff mit Ethereal mit, dann weisst du es genauer.

regitnig · 17.11.2004, 21:19

Ich habe nun ethereal ausprobiert:
der permanente Datenstrom ist im ARP Protokoll
Source: 62.218.197.1
Destination: broadcast
Info: who has 62.218.196.48 tell 62.218.196.1
Die Adressen ändern sich in jedem Packet!

Also soweit ich das interpretieren kann fragt da ein Server alle Computer ab welcher eine bestimmte Adresse benutzt.
Wozu dient das ?

Die "kleinen" peaks (bei ausgeschaltetem Modem haben folgenden Inhalt:
ARP Protokoll
Source: 192.168.3.60 (Anm.:eigene IP im Netz)
Broadcast
Who has 192.168.3.1 tell 192.168.3.60

Und was sucht da mein Rechner?

Übrigens herzlichen Dank für den Tip Etherreal zu probieren. Das bringt offensichtlich alles ans Tageslicht!

regitnig · 17.11.2004, 21:33

192.168.30.1 ist übrigends der Gateway

regitnig · 17.11.2004, 21:53

Also bei der 68.218....IP Adresse handelt es sich nach erfolgreichem Ping und tracert um: gw198.host."meinprovider".at

Für was macht dieser GW eine derartige broadcast Abfrage?

Wenigstens weiß ich jetzt, dass es sich nicht um irgendwelche böswilligen Angriffe handelt.

16.11.2004, 12:28	#1
regitnig Jr. Member Registriert seit: 10.09.2002 Beiträge: 22	Kabel-Internet Verbindung ständiger Dateneingang? Hallo ! Ich hab da eine Frage an die Netzwerk und Sicherheits - Gurus: Ich habe eine Internet Kabel Anbindung (nicht Chello, aber so ähnlich vom lokalen Kabelnetz Betreiber), die auch wunderbar funktioniert. Ich bemerkte aber im Taskmanager / Netzwerkmonitor, dass permanent Daten eingehen, auch wenn keinerlei Aktivitäten seitens IE oder Outlook laufen. Laut Netzwerkmonitor im Taskmanager sind das meist Nicht-Unicasts (was auch immer das ist?!). Wenn ich das Kabelmodem ausshalte ist das natürlich weg, allerdings bleibt ca. alle 5 Sekunden ein minimaler Datenausgang übrig. Ich habe mit meinen Programmen (siehe unten) keine Probleme feststellen können. Auch NetworkActivePIAFCTM 1.5 zeigt mir keine Pakete an. Einen Screenshot vom Netzmonitor häng ich zur Verdeutlichung an Ist so ein minimaler Datenstrom in einem Kabel-Internet normal? Sind das Portscans oder sonstige schlimme Dinge? Wie kann ich mehr darüber herausfinden? Ich habe Win XP SP2 mit aktivierter Firewall, Virus Scan Enterprise / Mc Affee 7.1 mit aktuellem dat file, Adaware, Spybot und SpySweeper. Ist schon fast paranoid, dass man soviele Proggies braucht um heutzutage noch einigermaßen sicher im Netz zu sein:-((

17.11.2004, 10:22	#3
regitnig Jr. Member Registriert seit: 10.09.2002 Beiträge: 22	OK Danke! Das klingt ja beruhigend. Kannst Du mir evtl. auch noch erklären was diese kleinen peaks (im Bild links) bei ausgeschaltetem Modem zu bedeuten haben? ____________________________________

17.11.2004, 21:19	#5
regitnig Jr. Member Registriert seit: 10.09.2002 Beiträge: 22	Ich habe nun ethereal ausprobiert: der permanente Datenstrom ist im ARP Protokoll Source: 62.218.197.1 Destination: broadcast Info: who has 62.218.196.48 tell 62.218.196.1 Die Adressen ändern sich in jedem Packet! Also soweit ich das interpretieren kann fragt da ein Server alle Computer ab welcher eine bestimmte Adresse benutzt. Wozu dient das ? Die "kleinen" peaks (bei ausgeschaltetem Modem haben folgenden Inhalt: ARP Protokoll Source: 192.168.3.60 (Anm.:eigene IP im Netz) Broadcast Who has 192.168.3.1 tell 192.168.3.60 Und was sucht da mein Rechner? Übrigens herzlichen Dank für den Tip Etherreal zu probieren. Das bringt offensichtlich alles ans Tageslicht! ____________________________________

17.11.2004, 21:33	#6
regitnig Jr. Member Registriert seit: 10.09.2002 Beiträge: 22	192.168.30.1 ist übrigends der Gateway ____________________________________

17.11.2004, 21:53	#7
regitnig Jr. Member Registriert seit: 10.09.2002 Beiträge: 22	Also bei der 68.218....IP Adresse handelt es sich nach erfolgreichem Ping und tracert um: gw198.host."meinprovider".at Für was macht dieser GW eine derartige broadcast Abfrage? Wenigstens weiß ich jetzt, dass es sich nicht um irgendwelche böswilligen Angriffe handelt. ____________________________________

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)