Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Anwendung identifizieren, die unregelmäßig UDP-Traffic verursacht

Frage Microsoft Windows Netzwerk

Mitglied: RaginRob

RaginRob (Level 1) - Jetzt verbinden

13.04.2011 um 11:46 Uhr, 6022 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe festgestellt, dass eins unserer Windows-Systeme (XP Pro) in unregelmäßigen Abständen großen UDP-Traffic an unterschiedliche Hosts im Internet sendet. Das Phänomen tritt erst seit einigen Tagen auf und ist sehr ungewöhnlich, da z.B. am Wochenende allein an einem Tag ca. 12 GB gesendet wurden. Ich habe nun eine Debian-Kiste vor unser Gateway geklemmt und lasse den Verkehr dort durch eine Bridge laufen, um den Traffic mit tcpdump zu protokollieren. Es handelt sich um große UDP-Pakete > 8000 Bytes, deren "Nutzlast" einfach nur aus 0x58 (ein großes "X") besteht. Die Portnummern beginnen bei 1000 und erhöhen sich ca. alle 0,4 Sekunden bis sie wieder auf 1000 zurückfallen.

Anhand des Dumps allein kann ich nicht feststellen, welche Anwendung den Traffic verursacht. Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen. Kennt jemand eine Möglichkeit, wie ich das hinbekommen könnte?

Was mir reichen würde wäre ein Logfile, in dem ich sehen kann, wann welcher Prozess (genauer: welche Executable) UDP-Pakete sendet. Dann könnte ich in Verbindung mit den Dumps herausfinden, was da läuft.

Danke für eure Tipps!

MfG, Rob
Mitglied: 99045
13.04.2011 um 11:55 Uhr
Moin,

mit dem Process Monitor (procmon) könntest du das mit entsprechenden Filtern hinbekommen.

Gruß
Bitte warten ..
Mitglied: AndreasHoster
13.04.2011 um 11:56 Uhr
Auf die Schnelle mit Windows Bordmitteln:
Leistungsmonitor (perfmon.exe)
Als Leistungsindikator Prozess, E/A Bytes geschrieben/s und alle Instanzen.
Zeigt von Allen Prozessen, wieviel AUsgabe Bytes erzeugt wurden. Erfasst leider auch Festplattenaktivität, aber bei 12 GB UDP Paketen sollte man eigentlich deutliche Spitzen sehen können. Ist halt etwas Detektivarbeit.
Und der Leistungsmonitor kann über einen längeren Zeitraum aufzeichnen.

Edit:
Idee von Kaputtnick ist besser.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:31 Uhr
Hallo,

der TCPView von Sysinternals (MS) kann das in Echtzeit (und Speichern).

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:32 Uhr
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:53 Uhr
Hallo,

Zitat von 99045:
TCPview kann das eben offenbar nicht speichern, denn damit hat er es ja probiert.
Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

Allerdings muss ich zugeben, das sich das Speichern nur auf den Aktuellen Bildschirm bezieht, leider.

Gruß,
Peter
Bitte warten ..
Mitglied: 99045
13.04.2011 um 13:56 Uhr
Hi,

Wo hast du beim TO etwas von TCPView (Sysinternals = MS = windows) gelesen?

In seiner Frage:
Wenn ich auf der entsprechenden XP-Maschine mit netstat -b oder tcpview den sendenden Prozess ermitteln will, dann müsste man ja einfach Glück haben, um den Prozess "auf frischer Tat" zu ertappen.

Gruß
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 14:24 Uhr
Hallo,

Zitat von 99045:
mit netstat -b oder tcpview
Ja. Ich sollte mein Vergrößerungsglas putzen lassen. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: RaginRob
13.04.2011 um 15:06 Uhr
Danke erstmal für eure Tipps, so richtig hingehauen hat es leider nicht. Der Windows-Systemmonitor will leider auch nicht bzw. scheint total überfordert mit der Aufgabe, und tcpview speichert tatsächlich leider nur den Ist-Zustand, erstellt aber keine Logs (was natürlich genau das wäre, was ich bräuchte). Ich hab mir jetzt was eigenes geschrieben, getriggert durch einen Alarm auf der Linuxkiste, das funktioniert soweit ganz gut, der Schreihals ist entdeckt

Viele Grüße,
Rob
Bitte warten ..
Mitglied: 99045
13.04.2011 um 15:10 Uhr
Na denn.

Bitte nicht vergessen, den Thread auf gelöst zu setzen.

Gruß
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL
Vodafone: Traffic Shaping und Drossel oder Netz mies? (7)

Frage von DDoS85 zum Thema DSL, VDSL ...

Cloud-Dienste
Home Foto Server Cloud? oder welche Anwendung? (5)

Frage von Otto1699 zum Thema Cloud-Dienste ...

Router & Routing
UDP 4500 von ISP für eine einzige Adresse geblockt? (6)

Frage von MaHeula zum Thema Router & Routing ...

Windows 7
gelöst Schriften in Schriftdateien (otf, ttf) identifizieren (1)

Frage von rudeboy zum Thema Windows 7 ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (10)

Frage von sysbone zum Thema Zusammenarbeit ...