Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SNMTP Trap Protokoll - Port 162 (regelmäßiger Traffic von IP x zu IP y)

Frage Netzwerke Netzwerkprotokolle

Mitglied: calebAdm

calebAdm (Level 1) - Jetzt verbinden

16.10.2014, aktualisiert 04.02.2015, 2027 Aufrufe, 9 Kommentare

Hallo liebe Informatiker.

Ich frage mich derzeit, warum IP x (lokaler Client) alle 10 Sekunden versucht eine Verbindung zu einer lokalen IP y über Port 162 aufzubauen.

Die IP y (192.168.0.3) gibt es in unserem Netzwerk nicht. Das vorletzte Oktett stimmt auch nicht mit unserem IP-Bereich überein.

Ich habe bereits den Dienst SNMTP-Trap am lokalen Rechner beendet/deaktiviert, welcher über den Port 162 kommuniziert.

Der Datenverkehr besteht weiterhin O_o

Ich meine, die Firewall blockt den Verbindungsaufbau sowieso, aber muss das denn sein, dass hier unnötig Datenverkehr "fließt"?

Könnt ihr mich aufklären, was hier passiert? - Das ist der einzige Rechner hier im Netz und er steht mittlerweile an Stelle 1 der häufigst geblockten Verbindungen.


Vielen Dank und liebe Grüße von
calebAdm
Mitglied: chiefteddy
LÖSUNG 16.10.2014, aktualisiert 04.11.2014
Hallo,

wenn man mal von Virus etc. absieht, muß ja nicht nur das Betriebssystem SNMP-Traps versenden, Auch andere Geräte / Programme können SNMP-Traps versenden: Druckertreiber / Management-Software lokal verwalteter Drucker, USV-Software, Datenbank-Management-Software, Management-Software von IP-Kameras usw.

Du mußt schon den Dienst / Software identifizieren, die die Pakete veranlaßt.

Jürgen
Bitte warten ..
Mitglied: MrNetman
LÖSUNG 16.10.2014, aktualisiert 04.11.2014
SNMP (UDP) Traps werden verschickt ohne das Ziel zu verifizieren.
Wenn also an irgendeinem Gerät so was konfiguriert war oder ist, macht das Verkehr.
Nur reguläre Traps werden nicht im 10 Sekunden Rhythmus verschickt. Selbst Netflow Statistiken werden nur im Minutentakt verschickt (UDP 161)
Traps beinhalten aber immer eine typische OID. DIe ist sehr gut zu erkennen und beginnt meist mit 1.3.6.1.2
Andere Inhalte, die man mit Wiresharrk gut erkennen kann sind nichzt zu erwarten. Uasgenommen ist immer der Communitystring, das Passwort.

Gruß
Netman
Bitte warten ..
Mitglied: calebAdm
16.10.2014, aktualisiert um 15:36 Uhr
ProcessName
--------------------------------------------------------

AppleMobileDeviceService
audiodg
bdagent
bdwtxag
bdwtxcr
BtvStack
chrome
chrome
chrome
chrome
chrome
CLRHost
cmd
csrss
csrss
dllhost
dwm
EXCEL
explorer
Fixwin
Fixwin
Fixwin
HeciServer
hkcmd
Idle
igfxtray
LMS
lsass
lsm
MSACCESS
nsd
ntmulti
rundll32
SearchIndexer
services
smss
spoolsv
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
System
taskhost
updatesrv
vsserv
wininit
winlogon
wmplayer
wsmprovhost

Ich habe schonmal ein paar Prozesse rausgehauen, der AppleMobileDeviceService startet sich automatisch neu - meine Vermutung liegt bei diesem Prozess...
Trial and Error - ich kille einzelne Prozesse per Powershell - die Pakete kommen immernoch im 10-Sekunden-Takt
Bitte warten ..
Mitglied: MrNetman
LÖSUNG 16.10.2014, aktualisiert 04.11.2014
Du sollst nicht raten sondern die Pakete analysieren. Anhand der OID kann man dann weiter sehen.
Ist der SNMP-Dienst überhaupt aktiviert und in den Prozessen sichtbar?
Bitte warten ..
Mitglied: calebAdm
16.10.2014 um 16:31 Uhr
Hier haben wir einmal nen Päckchen vom WireShark "Lieferservice"

c70af13dfa3b2c4d7b375664c117a4a6 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: chiefteddy
16.10.2014 um 17:28 Uhr
Hallo,

schon mal etwas von Google gehöhrt?

http://www.iana.org/assignments/enterprise-numbers/enterprise-numbers

Die Trap-Adresse lautet: 1.3.6.1.4.1.3183.1.1

Die entscheidende Info ist: 3183 --> Damit kann man den Eigentümer dieser MIB-Adresse/Variablen ermitteln

--> 3183
Wired for Management
Ramin Neshati
ramin.neshati&intel.com

Die Traps werden vermutlich von einem Management-Tool von Intel versendet.

Jürgen
Bitte warten ..
Mitglied: calebAdm
16.10.2014 um 19:54 Uhr
Danke ich werde das gleich mal ausprobieren und einen intel prozess killen ^^
Bitte warten ..
Mitglied: Bentzien
23.01.2015 um 12:16 Uhr
Hi,

hast du herausgefunden welcher Intel Prozess bzw. welche Software das Paket sendete?

Ich habe das selbe Problem auf 2 Rechnern und suche gerade.

Gruß Carsten
Bitte warten ..
Mitglied: calebAdm
27.01.2015, aktualisiert 04.02.2015
Mhh den Prozess weiß ich gerade nicht, aber ich meine es war sogar in der Trayleiste und musste nur aus dem Autostart genommen werden.

Aber das ist jetzt nur eine Vermutung...

Du kannst natürlich auch:

a3480649eb5aa707aaff40a90912eb8c - Klicke auf das Bild, um es zu vergrößern

Einfach mal ne Retoure zum Absender bzw. Verursacher :D
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Regelmäßige IP-Leaseerneuerung?
Frage von VectorVulgaerLAN, WAN, Wireless4 Kommentare

Gute Tag erstmal. Ich bin auszubildender Fachinformatiker für Systemintegration und bin auf der suche nach einem passenden Projekt. Eine ...

Linux Netzwerk
Unbekannter Traffic auf Port 55861
Frage von mexxLinux Netzwerk5 Kommentare

Hallo, hin und wieder mache ich ein TCPDUMP auf meinen Linuxserver mit fester IP und sehe sehr viel Traffic ...

Netzwerkprotokolle
TeamViewer Port - Protokoll ändern
Tipp von Rolf-Hanka.ITDNetzwerkprotokolle

Hallo Freunde, ich wollte hier mal einen kleinen Tipp verfassen, wie man im aktuellen Team Viewer ( Version 10 ...

Hyper-V
Traffic von IP nach IP in VM messen
Frage von lasterHyper-V2 Kommentare

Hallo, wir haben mehrere VM's auf drei Hyper-V Servern (Win 2012 R2). Nun wollen wir wissen, wieviel Traffic pro ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 15 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 20 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 20 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...