9
Anwendung identifizieren, die unregelmäßig UDP-Traffic verursacht
Hallo zusammen,
ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.
Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?
Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.
Danke für eure Tipps!
MfG, Rob
ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.
Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?
Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.
Danke für eure Tipps!
MfG, Rob
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164494
Url: https://administrator.de/contentid/164494
Printed on: April 24, 2024 at 00:04 o'clock
9 Comments
Latest comment
Moin,
mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.
Gruß
mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.
Gruß
Auf die Schnelle mit Windows Bordmitteln:
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.
Edit:
Idee von Kaputtnick ist besser.
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.
Edit:
Idee von Kaputtnick ist besser.
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Hallo,
Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.
Gruß,
Peter
Zitat von @99045:
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.
Gruß,
Peter
Hi,
In seiner Frage:
Gruß
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?
In seiner Frage:
Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen.
Gruß
Hallo,
Gruß,
Peter
Zitat von @99045:
mit netstat -b oder tcpview
Ja. Ich sollte mein Vergrößerungsglas putzen lassen. Sorry.mit netstat -b oder tcpview
Gruß,
Peter
Danke erstmal für eure Tipps, so richtig hingehauen hat es leider nicht. Der Windows-Systemmonitor will leider auch nicht bzw. scheint total überfordert mit der Aufgabe, und tcpview speichert tatsächlich leider nur den Ist-Zustand, erstellt aber keine Logs (was natürlich genau das wäre, was ich bräuchte). Ich hab mir jetzt was eigenes geschrieben, getriggert durch einen Alarm auf der Linuxkiste, das funktioniert soweit ganz gut, der Schreihals ist entdeckt 
Viele Grüße,
Rob
Viele Grüße,
Rob
Na denn.
Bitte nicht vergessen, den Thread auf gelöst zu setzen.
Gruß
Bitte nicht vergessen, den Thread auf gelöst zu setzen.
Gruß
