Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anwendung identifizieren, die unregelmäßig UDP-Traffic verursacht

Frage Microsoft Windows Netzwerk

Mitglied: RaginRob

RaginRob (Level 1) - Jetzt verbinden

13.04.2011 um 11:46 Uhr, 5967 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.

Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?

Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.

Danke für eure Tipps!

Mit freundlichen Grüßen, Rob
Mitglied: 99045
13.04.2011 um 11:55 Uhr
Moin,

mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.

Gruß
Bitte warten ..
Mitglied: AndreasHoster
13.04.2011 um 11:56 Uhr
Auf die Schnelle mit Windows Bordmitteln:
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.

Edit:
Idee von Kaputtnick ist besser.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:31 Uhr
Hallo,

der TCPView von Sysinternals (MS) kann das in Echtzeit (und Speichern).

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:32 Uhr
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:53 Uhr
Hallo,

Zitat von 99045:
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:56 Uhr
Hi,

Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

In seiner Frage:
Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen.

Gruß
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 14:24 Uhr
Hallo,

Zitat von 99045:
mit netstat -b oder tcpview
Ja. Ich sollte mein Vergrößerungsglas putzen lassen. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: RaginRob
13.04.2011 um 15:06 Uhr
Danke erstmal für eure Tipps, so richtig hingehauen hat es leider nicht. Der Windows-Systemmonitor will leider auch nicht bzw. scheint total überfordert mit der Aufgabe, und tcpview speichert tatsächlich leider nur den Ist-Zustand, erstellt aber keine Logs (was natürlich genau das wäre, was ich bräuchte). Ich hab mir jetzt was eigenes geschrieben, getriggert durch einen Alarm auf der Linuxkiste, das funktioniert soweit ganz gut, der Schreihals ist entdeckt

Viele Grüße,
Rob
Bitte warten ..
Mitglied: 99045
13.04.2011 um 15:10 Uhr
Na denn.

Bitte nicht vergessen, den Thread auf gelöst zu setzen.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 7
gelöst SVCHOST verursacht hohe Prozessorlast (6)

Frage von cardisch zum Thema Windows 7 ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows 7
gelöst Bearbeiter einer Datei identifizieren (1)

Frage von honeybee zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...