Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anwendung identifizieren, die unregelmäßig UDP-Traffic verursacht

Frage Microsoft Windows Netzwerk

Mitglied: RaginRob

RaginRob (Level 1) - Jetzt verbinden

13.04.2011 um 11:46 Uhr, 6010 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.

Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?

Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.

Danke für eure Tipps!

MfG, Rob
Mitglied: 99045
13.04.2011 um 11:55 Uhr
Moin,

mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.

Gruß
Bitte warten ..
Mitglied: AndreasHoster
13.04.2011 um 11:56 Uhr
Auf die Schnelle mit Windows Bordmitteln:
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.

Edit:
Idee von Kaputtnick ist besser.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:31 Uhr
Hallo,

der TCPView von Sysinternals (MS) kann das in Echtzeit (und Speichern).

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:32 Uhr
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:53 Uhr
Hallo,

Zitat von 99045:
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:56 Uhr
Hi,

Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

In seiner Frage:
Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen.

Gruß
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 14:24 Uhr
Hallo,

Zitat von 99045:
mit netstat -b oder tcpview
Ja. Ich sollte mein Vergrößerungsglas putzen lassen. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: RaginRob
13.04.2011 um 15:06 Uhr
Danke erstmal für eure Tipps, so richtig hingehauen hat es leider nicht. Der Windows-Systemmonitor will leider auch nicht bzw. scheint total überfordert mit der Aufgabe, und tcpview speichert tatsächlich leider nur den Ist-Zustand, erstellt aber keine Logs (was natürlich genau das wäre, was ich bräuchte). Ich hab mir jetzt was eigenes geschrieben, getriggert durch einen Alarm auf der Linuxkiste, das funktioniert soweit ganz gut, der Schreihals ist entdeckt

Viele Grüße,
Rob
Bitte warten ..
Mitglied: 99045
13.04.2011 um 15:10 Uhr
Na denn.

Bitte nicht vergessen, den Thread auf gelöst zu setzen.

Gruß
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst FIrewall Webfilter produziert extrem hohen Traffic (22)

Frage von ketanest112 zum Thema Router & Routing ...

Router & Routing
gelöst CISCO ASA udp port 10000 für tv-streaming freischalten (2)

Frage von maxmedulin zum Thema Router & Routing ...

Windows Server
Geschwindigkeitsbremse Identifizieren (18)

Frage von cymode zum Thema Windows Server ...

Router & Routing
gelöst Internet-Traffic soll nicht durch den VPN sondern lokal bleiben (5)

Frage von ikorbln zum Thema Router & Routing ...

Neue Wissensbeiträge
Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen (16)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (14)

Frage von marshall75000 zum Thema Router & Routing ...

Microsoft Office
Saubere HTML aus Word-Dokument (14)

Frage von peterpa zum Thema Microsoft Office ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...