(Gelöst)Empfange unbekannte Pakete

[daniel h]

Hallo Freunde.

Ich habe eben bemerkt das ich die ganze Zeit Pakete empfange obwohl ich überhaupt nichts geöffnet habe.
Ich habe anscheinend auch schon 2MB verschickt.Wir waren eben bei youtube,für 10Min,vor 2 Std.

Wieso empfange ich immer noch Pakete?Und 2MB Upload???
Ich dachte zuerst es läge an listen,aber der ist ausgeschaltet.

Grüße,

daniel

[daniel h]

Komisch.
Ich hab den Router jetzt so eingestellt das die Verbindung nach 3 Minuten abbricht,dh keine Dauerverbindung.
Das tool zeigt aber immernoch Datenverkehr an.Das ist es wohl reif für den Trash;)

Ist die gnome Netzwerk Verwaltung.Taugt nichts.

Danke für die Aufmerksamkeit,

daniel

[daniel h]

Ich habe mir die ganze Sache jetzt mal genauer angesehen.Es wurden trotz der unterbrochenen Verbindung weiterhin Pakete versandt und empfangen.
Jetzt habe ich exim4 und den avahi-daemon ausgeschaltet.Siehe da,Ruhe im Carton.Da ich nicht so der Freak bin was Netzwerk Verkehr angeht hätte ich gerne die Vermutung bestätigt das die beiden Programme mit dem Router kommunizieren um ,im Falle avahi-daemon, neue Rechner zu finden , oder im Falle exim, neue Mails....?!

Ich hatte die Dienste "eigentlich" schon einmal ausgeschaltet,und zwar auf die hier www.wiki.ubuntuusers.de/Dienste

beschriebene Weise.

Liegt das an Lenny oder an mir?

[Danielx]

Da ich nicht so der Freak bin was Netzwerk Verkehr angeht hätte ich gerne die Vermutung bestätigt das die beiden Programme mit dem Router kommunizieren um ,im Falle avahi-daemon, neue Rechner zu finden , oder im Falle exim, neue Mails....?!

Ja, Avahi sendet mDNS-Multicast an die Adresse 224.0.0.251 (IPv4) bzw. ff02::fb (IPv6).
Exim sollte eigentlich nicht kommunizieren, es sei denn du hast es entsprechend konfiguriert.
Ab und zu werden wahrscheinlich auch noch ARP-Pakete versendet.
Am einfachsten ist es aber, wenn du z.B. mit tcpdump oder Wireshark direkt überprüfst, was dein Rechner sendet und empfängt.

Ich hatte die Dienste "eigentlich" schon einmal ausgeschaltet

Möglicherweise hat ein Update die Dienste wieder aktiviert.

Gruß,
Daniel

[kindascared]

lass doch mal einen tcpdump laufen und poste mal 10-20 zeilen (bzw benutze http://pastebin.com )

alternativ ein wireshark log...dann kann dir 100%ig jemand sagen was da wohin sendet

[daniel h]

Hallo.

http://pastebin.com/m772980af

Hier ist etwas zum austoben.Es waren ein paar Sekunden Netz.Ist ein haufen Zeug.
Daniel

[Danielx]

Hier ist etwas zum austoben.Es waren ein paar Sekunden Netz.Ist ein haufen Zeug.

Wäre besser gewesen, wenn du nicht im Internet herum gesurft wärst und statt dessen tcpdump etwas länger hättest laufen lassen.

Ich sehe da (bis auf dein Herumsurfen) nur ARP-Requests, die dein Router aussendet.
Anscheinend fragt dein Router in aufsteigender Reihenfolge nach allen möglichen IP-Adressen im Subnetz:

Code: Alles auswählen

(...)
Who has 192.168.2.39?  Tell 192.168.2.1
Who has 192.168.2.40?  Tell 192.168.2.1
Who has 192.168.2.41?  Tell 192.168.2.1
(...)

Wie viele Rechner hängen den zur Zeit am Router?

Gruß,
Daniel

[daniel h]

Wäre besser gewesen, wenn du nicht im Internet herum gesurft wärst und statt dessen tcpdump etwas länger hättest laufen lassen.

Ich schäme mich

Ich habe genau einen PC am laufen.Hab zwar noch ein Laptop aber das läuft selten.DHCP und WLAN sind deaktiviert.Liegt wohl daran das es ein telekom Gerät ist...?...

[reox]

mh ne eher net, die frage ist, wer braucht arp req zu allen möglichen rechnern? Ich kenn nur netdiscover was sowas macht und ich denk mal net das du den gestartet hast. Evt irgend ein Dienst der daten sammeln will oder so?
Das verhalten ist ziemlich merkwürdig... hab mal gerade bei mir am server gelauscht, da geht nur zeug raus und rein was hier halt so rumläuft, also nix ungewöhnliches...
schalt mal alle möglichen dienste nach einander ab, wären tcpdump läuft. Dann kannst evt rausfinden welcher dienst da schuld ist, würde mich zumindest brennend interessieren^^

[daniel h]

Ich habe jetzt erstmal einen Screenshot all meiner Dienste gmacht für dich.
Ich habe grade keine Zeit und gehe nachher alles durch.Was mich wundet ist das trotz deinstallation der avahi-daemon und nfs-common noch aufgelistet sind.

Wie gesagt,ich versuche später alles durch.

Grüße,

daniel.

http://www.schlumpfis.de/dienste.html

[daniel h]

Ich bin soweit durch.
Ich habe soweit ich das erkennen kann nur Standarddienste laufen.
Ich habe eben den Router neu gestartet und ihm eine neue IP Adresse zugewiesen,jetzt sucht er in dem Bereich.

Ich halte mal nach und nach alle Dienste an,villeicht bringt das ja Ergebnisse.

[ckoepp]

mh ne eher net, die frage ist, wer braucht arp req zu allen möglichen rechnern?

Wenn 192.168.2.1 die IP des Routers ist, dann wohl ganz klar dieser

Schlecht programmierte Firmware wahrscheinlich - die klappert eben das ganze Netz ab und will wissen wer online ist (vielleicht um es an T-Online weiterzureichen :p). Vielleicht verwendet es die ARP Infos für die NAT Tabelle

Also schlimm ist das nicht wirklich. Höchstens etwas nervig. ARP sollte nicht über den Router raus gehen (und selbst wenn wirds spätestens beim ISP ausgefiltert).

[daniel h]

Jo.Ich habe gerade meineb eumex ip angeklemmt und da ist Funkstille.
Die Speedport Reihe ist anscheinend ziemlich bugy.

Danke auf jeden Fall.Ich werde mal ein Reset machen,habe aber keine Hoffnung.

[123456]

Ich werde mal ein Reset machen,habe aber keine Hoffnung.

Tu mir nen Gefallen und resette die gesamte Telekom doch bitte mit.

[daniel h]

Das habe ich bereits versucht doch der Hammer war nicht groß genug.

[Danielx]

Ich habe grade keine Zeit und gehe nachher alles durch.Was mich wundet ist das trotz deinstallation der avahi-daemon und nfs-common noch aufgelistet sind.

Die Skripte im Verzeichnis /etc/init.d/ werden nur ausgeführt, falls diese auch aktiviert sind.
Am einfachsten ist es, wenn du das Programm sysv-rc-conf aus dem gleichnamigen Paket verwendest, dort kannst du die Dienste einfach an und ausschalten.
Vorsicht, obwohl das ein Terminal-Programm ist, funktioniert dort die Maus unter X, nicht dass du aus Versehen dort Dienste aktivierst bzw. deaktivierst (Einstellungen werden sofort übernommen).

Um avahi zu deaktivieren sähe die entsprechende Zeile dann so aus:

Code: Alles auswählen

│ avahi-dae$  [ ]     [ ]     [ ]     [ ]     [ ]     [ ]     [ ]     [ ]      │

Ich habe soweit ich das erkennen kann nur Standarddienste laufen.
Ich habe eben den Router neu gestartet und ihm eine neue IP Adresse zugewiesen,jetzt sucht er in dem Bereich.

Ich halte mal nach und nach alle Dienste an,villeicht bringt das ja Ergebnisse.

Die ARP-Requests sendet, wie hier schon gesagt, dein Router aus und nicht dein Rechner, du kannst also diese ARP-Requests nicht dadurch verhindern, dass du auf deinem Rechner Dienste ausschaltest.
Das liegt also an der Firmware deines Routers, die ARP-Requests sind aber nicht schlimm, da nicht böse.

Gruß,
Daniel

[123456]

Schade.
Habe gerade mal bei mir geschaut. Mein Speedport broadcastet auch rum. Lästig aber problemlos.
Du kannst gerne versuchen das bei denen zu reporten. Wahrscheinlich wachsen dir aber dabei graue Haare, ein Bart - und Pickel bekommst du davon bestimmt auch.

[Danielx]

Habe gerade mal bei mir geschaut. Mein Speedport broadcastet auch rum. Lästig aber problemlos.

Ja, das ist ein Workaround, um Rechner mit statischen IPs zu finden.

Gruß,
Daniel

[daniel h]

Das mit den Diensten geht alles klar.Nur warum stehen die dann noch da wenn ich sie gelöscht habe bzw die Programme dazu.Ich brauche weder exim.noch avahi oder nfs.Alle drei habe ich deinstalliert und sie stehen trotzdem noch im System.Ist das wegen lenny?
Das mit den ARPs hab ich mittlerweile geschnallt.So lange der Router sicher ist und mein Netz sauber ist ist mir die Geschichte relativ egal.Hatte nur Sorgen da ich gerade angefangen habe mit Homepage und ftp usw das ich da keine Fehler gemacht habe bzw mein System unsicher geworden ist.
Dh der Schwerpunkt meines Wissensdurstes wird sich die nächste Zeit auf Netzwerktechnik verlagern damit ich davon mal einen Plan bekomme.

Kleine andere Frage noch:

Kann ich eigentlich meine ftp Verbindung gemountet lassen?Das Passwort wird ja am Ende der Session gelöscht.Zugriff sollte so also keiner bekommen?Oder?

[123456]

Kann ich eigentlich meine ftp Verbindung gemountet lassen?Das Passwort wird ja am Ende der Session gelöscht.Zugriff sollte so also keiner bekommen?Oder?

Normalerweise ist auf einem ftp Server der default timeout auf IIRC 300 Sekunden eingestellt. Danach fliegst du sowieso raus.

[ckoepp]

Wobei Du aber gewarnt sein solltest - jemand Böses kann ARP für einigen Unfug benutzen. Da können Switches mit einem Mal zu Hubs werden, ganze Verbindungen können gekapert werden usw.

Nicht wirklich wichtig für dein Heimnetzwerk, aber interessant zu wissen
Jeder Server sollte einen fixen ARP Eintrag zu seinem nächsten Hop haben (zumindest wenn dieser feststeht :p).

Da kann man gar nicht oft genug auf die Gefahren hinweisen - in Hochschulnetzen werden so ganze Sicherheitsbarrieren ausgehebelt :p

[daniel h]

Danke für die Info.

Solange das ganze für mich nicht wirklich wichtig ist stufe ich es als ungefärlich ein.

Thema Gelöst,Telekom enttarnt.