Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anwendung identifizieren, die unregelmäßig UDP-Traffic verursacht

Frage Microsoft Windows Netzwerk

Mitglied: RaginRob

RaginRob (Level 1) - Jetzt verbinden

13.04.2011 um 11:46 Uhr, 5992 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.

Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?

Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.

Danke für eure Tipps!

MfG, Rob
Mitglied: 99045
13.04.2011 um 11:55 Uhr
Moin,

mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.

Gruß
Bitte warten ..
Mitglied: AndreasHoster
13.04.2011 um 11:56 Uhr
Auf die Schnelle mit Windows Bordmitteln:
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.

Edit:
Idee von Kaputtnick ist besser.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:31 Uhr
Hallo,

der TCPView von Sysinternals (MS) kann das in Echtzeit (und Speichern).

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:32 Uhr
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:53 Uhr
Hallo,

Zitat von 99045:
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:56 Uhr
Hi,

Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

In seiner Frage:
Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen.

Gruß
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 14:24 Uhr
Hallo,

Zitat von 99045:
mit netstat -b oder tcpview
Ja. Ich sollte mein Vergrößerungsglas putzen lassen. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: RaginRob
13.04.2011 um 15:06 Uhr
Danke erstmal für eure Tipps, so richtig hingehauen hat es leider nicht. Der Windows-Systemmonitor will leider auch nicht bzw. scheint total überfordert mit der Aufgabe, und tcpview speichert tatsächlich leider nur den Ist-Zustand, erstellt aber keine Logs (was natürlich genau das wäre, was ich bräuchte). Ich hab mir jetzt was eigenes geschrieben, getriggert durch einen Alarm auf der Linuxkiste, das funktioniert soweit ganz gut, der Schreihals ist entdeckt

Viele Grüße,
Rob
Bitte warten ..
Mitglied: 99045
13.04.2011 um 15:10 Uhr
Na denn.

Bitte nicht vergessen, den Thread auf gelöst zu setzen.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Linux
gelöst Schmaler Scrollbalken in Python-Anwendung (14)

Frage von indi955 zum Thema Linux ...

Windows 10
gelöst Notebook macht sehr viel Traffic (9)

Frage von DeathNote zum Thema Windows 10 ...

Windows 10
Vbs getobject auf per Task gestartete Anwendung (4)

Frage von schauan zum Thema Windows 10 ...

Router & Routing
Mikrotik CCR1036 IPSec UDP NAT Abbrüche PCoIP VDI (1)

Frage von nahdeka zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (31)

Frage von Maik82 zum Thema Linux Netzwerk ...

Exchange Server
gelöst Bestehende eMails autoamatisch weiterleiten (22)

Frage von metal-shot zum Thema Exchange Server ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...

Switche und Hubs
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat? (20)

Frage von White-Rabbit2 zum Thema Switche und Hubs ...