|
Site Index - Feedback - Impressum |
| |||||||||
|
![[Forum]](../../../images.os2.org/de/forum.gif){kind=small} |
|
![[Forum]](../../../images.os2.org/de/forum2.gif){kind=small} |
| ( Archiv ) | ( Neues Thema ) |
| ( Zeige die Threadübersicht ) | ( Zur Startübersicht ) |
| 14.11.2001 |
| TCPIP Spuerhund? (von: Wolfi, 04:08:27) | ^ |
| Tag allerseits,
kennt jemand ein gutes Monitorprogramm, mit dem sich herausfinden laesst, welches Programm gerade eine Verbindung ins Internet aufbaut? Ich benutze gerade einen im Haus bereits vorhandenen MSN Modem-Zugang mit Injoy und alle 30 sec erfolgt eine kurze Verbindung ins Netz, die den Injoy Inaktivitaetstimer zuruecksetzt. Mir ist es bisher nicht gelungen, herauszufinden, woher die Verbindung stammt. Alles, was sich mit Watchcat beenden laesst, scheidet inzwischen aus. Danke bereits vorab [ Leser: 213 ] |
| Re: TCPIP Spuerhund? (von: Falko Eickel, 06:42:37) | |
| NetStat -S zeigt die benutzten Sockets an, aber das hilft Dir nur für die lokale Maschine und nicht für's Netzwerk. Außerdem müßtest Du genau den Moment erwischen, wo das passiert.
Sofern sonst nichts im Netzwerk los ist, kannst Du den Verkehr mit IPTRACE mitschneiden (Verwendung mit IPTRACE -? nachsehen). Ansonsten tippe ich mal auf NETBIOS über TCP/IP Broadcasts oder DHCP Broadcasts als die Übeltäter. |
| Re: TCPIP Spuerhund? (von: Wolfi, 07:08:53) | |
| Hallo Falko,
danke fuer deine schnelle Antwort. Leider hab' ich aber anscheinend ein Problem mit IPFormat. Ich bekomme folgende Fehlermeldung und das war's dann: Opening IPTRACE.DMP ... Sucessful Reading packet headers ... Unable to read 1st header Ich hab W4 FP14 mit TCPIP4.1. |
| Re: TCPIP Spuerhund? (von: Mike, 08:17:01) | |
| Hast du die Option "-i" für das Traceing von IP-Packeten angegeben ?Ansonsten ist das iptrace.dmp leer und es kommt obige fehlermeldung. |
| Re: TCPIP Spuerhund? (von: Wolfi, 16:22:42) | |
| Mike, danke für den Hinweis.
Ich hatte iptrace zwar mit dem Parameter -i aufgerufen, aus irgendeinem seltsamen Grund wird aber die unbekannte Anfrage ins Internet, die den Injoy Inaktivitätstimer alle 30s zurücksetzt, nicht erfasst und daher bleibt die Dump-Datei tatsächlich leer. Auch der PUMonitor registriert nichts. Nur Injoy zeigt 23 ankommende Bytes. Nun koennte ich ein paar andere gute Ideen brauchen ;-) |
| Re: TCPIP Spuerhund? (von: Martin R. Hadam, 17:50:50) | |
| >>> NetStat -S zeigt die benutzten Sockets an, aber das hilft Dir nur für die lokale Maschine und nicht für's Netzwerk. Außerdem müßtest Du genau den Moment erwischen, wo das passiert.
Das Problem sehe ich darin, dass fast keiner (mich ganz sicher eingeschlossen!) *wirklich* versteht, was da bei Netstat angezeigt wird. Zwar gibt es auf einem Server der UNI Stuttgart eine beinahe unerschöpfliche Liste, welches üble Programm sich in der Regel sich hinter welchem Port verbirgt. Da habe ich nachgesehen aber für meinen Fall nichts gefunden. Meine Suche nach weiterführender Literatur - um das Ganze einfach mal schlicht zu *verstehen* - war leider auch nicht erfolgreich. Wenn also jemand weiss, wo man sich schlau machen kann, ohne gleich sich für Informatik immatrikulieren zu müssen, dann wäre ich für einen Tip sehr dankbar (URL oder ISBN). Ob in Deutsch oder Englisch ist mir egal. TIA Martin |
| Re: TCPIP Spuerhund? (von: Lutz, 23:31:02) | |
| Ich hatte einen ähnlichen Effekt. Bei mir lag es am Routing. Forwarding war eingestellt, obwohl die Maschine garnicht als Router arbeiten sollte.Dadurch wurdenin regelmäßigem abstand Verbindungen aufgebaut. |
| 15.11.2001 |
| NetStat -S (von: Falko Eickel, 01:57:45) | |
| So schwer ist das doch gar nicht zu verstehen - ich versuch's jetzt mal mit einfachen Worten zu erklären (hoffentlich zerreißt os2.org jetzt nicht wieder total die Formatierung, wenn es wenigstens die mehrfachen Leerzeichen drinläßt, kann man die Seite speichern und dann in einem Editor mit festem Font ansehen):
-------------------------------------------------------------------------- - AF_INET-Adreßfamilie : SOCK TYP FREMD LOKAL FREMD STATUS - ANSCHLUSS ANSCHLUSS HOST ==== ========= ============= ============= ============= ============= 1146 STREAM 3325 ftp-data..20 134.106.xx.xx SYN_SENT v... bei der gerade eine Datenanforderung beginnt. 1137 STREAM 3323 ftp..21 134.106.xx.xx ESTABLISHED v... und zu mir eine FTP-Verbindung hergestellt ...^ 1133 STREAM telnet..23 1539 134.106.xx.xx ESTABLISHED Mal eben schnell an der Uni eingeloggt ...^ 1118 STREAM nntp..119 1534 194.109.74.138 ESTABLISHED 1053 STREAM www-http..80 1505 194.122.76.229 CLOSE_WAIT 1039 STREAM www-http..80 1491 194.122.76.229 CLOSE_WAIT 977 STREAM 0 1466 0.0.0.0 LISTEN 949 STREAM 0 1024 0.0.0.0 LISTEN Mit EuraPM2 kann ich die Telefonanlage steuern 19 STREAM 0 4000 0.0.0.0 LISTEN Auch wenn keine Bezeichnung dran steht, damit kann man IsdnPM 3.x fernsteuern. 18 DGRAM 0 ntalk..518 0.0.0.0 UDP Irgendwas an der Konfiguration führt dazu, daß Talk nicht geht :-(. 17 STREAM 0 printer..515 0.0.0.0 LISTEN Wenn ich mal von der Uni aus was zuhause ausdrucken will ... 16 STREAM 0 ftp..21 0.0.0.0 LISTEN Mein FTP-Server. 15 DGRAM 0 cmd..514 0.0.0.0 UDP Äh. Eigentlich ist das der Syslog-Dämon ... CMD ist zwar der gleiche Port, aber TCP statt UDP 14 STREAM 0 telnet..23 0.0.0.0 LISTEN Ich habe auch einen Telnet-Server am laufen. 12 STREAM 0 www-http..80 0.0.0.0 LISTEN Und das hier ist mein Apache-Webserver. 11 STREAM 0 daytime..13 0.0.0.0 LISTEN 10 DGRAM 0 daytime..13 0.0.0.0 UDP 9 STREAM 0 time..37 0.0.0.0 LISTEN 8 DGRAM 0 time..37 0.0.0.0 UDP Diese vier gehören zu meinem DCF77-Empfänger. SOCK: Eine eindeutige Socketnummer (Ports können schließlich vielfach benutzt werden) TYP: STREAM = TCP, normales Protokoll mit Paketreihenfolge und Fehlerkorrektur - DataGRAM = UDP, ungesichertes und verbindungsloses Protokoll, für kurze Abfragen bei beim DNS und für gestreamte Inhalte FREMD ANSCHLUSS: Port auf dem anderen Rechner LOKAL ANSCHLUSS: Port auf dem eigenen Rechner FREMD HOST: IP des anderen Rechners STATUS: LISTEN = Horch', was kommt von draußen rein ... - ESTABLISHED = Bestehende Verbindung - CLOSE_WAIT = Abgebaute, aber recylefähige Verbindung - SYN_SENT = Angeforderter Verbindungsaufbau - UDP = Na ja, UDP eben, verbindungslos halt -------------------------------------------------------------------------- - AF_OS2-Adreßfamilie : Da gibt's bei mir nichts. |
| Re: TCPIP Spuerhund? (von: Falko Eickel, 02:08:04) | |
| Vielleicht wirst Du mit den umfangreichen Log-Funktionen von IsdnPM schlauer ... möglicherweise ist auch gar keine Anfrage von innen nach draußen, sondern eine von draußen nach drinnen. Wenn man die IP von einem Onlinegamer übernommen hat, bekommt man oft noch stundenlang Anfragen von dessen Spielpartnern rein. Allerdings ist das bei Dir jetzt entschieden zu lange, es muß also noch was anderes sein. |
| Re: NetStat -S (von: Wolfi, 12:52:33) | |
| Hi Falko
ich glaube, es ist mir nun endlich gelungen, die alle 30sec kurz (laut Injoy 24 byw 25 Byte) auftretende Verbindung mittels nNetstat -s zu erwischen. Dies ist das Ergebnis: 0 STREAM pop3..110 57662 195.198.215.31 TIME_WAIT Es handelt sich dabei um eine schwedische Website, die ich allerdings noch nie zuvor gesehen habe. Hat jemand eine Ahnung, was es damit auf sich hat und warum irgendwas auf meinem Rechner alle 30s ein paar Byte hin- und herschickt? Ist das vielleicht ein "Geschenk" von MSN durch die Hintertür? Was mir ebenfalls nicht klar ist, warum IPTrace nix davon mitbekommt. |
| 16.11.2001 |
| Re: NetStat -S (von: Falko Eickel, 02:37:38) | |
| Tja, da möchte wohl irgendein Programm auf Deinem Rechner (bzw. aus Deinem Netzwerk) E-Mail von dem Server abrufen (auf dem läuft auch wirklich ein POP3-Dienst). TIME_WAIT steht wohl für Pakete, die die Verbindung am Leben erhalten sollen. Normalerweise werden Verbindungen, die nicht ordnungsgemäß geschlossen wurden, nach einer gewissen Zeit ohne Datenverkehr vom TCP/IP-Stack beendet. Andererseits ist der Wert Null für die Socket-Nummer sehr ungewöhnlich und sieht eher nach einem Fehler aus. Da man üblicherweise mit jeder neuen Einwahl eine andere IP-Adresse verpaßt bekommt, muß die Verbindung auch von einem Deiner Computer aus erfolgen, sonst könnten es prinzipiell ja auch hereinkommende Pakete sein, die die Leitung offenhalten (dann spinnt der Rechner auf der Gegenseite). Das scheint der allerdings auch so zu tun, denn Du schriebst ja von 23 ankommenden Bytes. Nur muß irgendetwas von Deiner Seite aus zuerst mal kurz die unendliche E-Mail-Abfrage ausgelöst haben. Das gilt es jetzt zu finden. |
| Re: NetStat -S (von: Falko Eickel, 02:49:26) | |
| Hoppla, da hatte ich doch ein paar Einträge vergessen zu kommentieren:
1118 STREAM nntp..119 1534 194.109.74.138 ESTABLISHED Netscape/2 2.02 vergißt beim Schließen des News-Fensters das Beenden der Verbindung ... 1053 STREAM www-http..80 1505 194.122.76.229 CLOSE_WAIT Netscape hält noch für eine Weile nach dem fertigen Ausliefern der Webseite die Verbindung zum Server offen ... 1039 STREAM www-http..80 1491 194.122.76.229 CLOSE_WAIT ... und noch ein weiteres Browser-Fenster mit www.os-2.de ... 977 STREAM 0 1466 0.0.0.0 LISTEN Das ist wirklich bedenklich. Wer lauscht denn hier auf Befehle von draußen? Es ist Netscape, aber woher das kommt, weiß ich nicht. Beim Starten ist der Lauscher noch nicht da, aber irgendwan später bezieht er dann seinen Horchposten. Dank IP-Masquerading mit IsdnPM ist das zum Glück ungefährlich. |
| TCPIP-Spürhund (Nachtrag) (von: Wolfi, 11:23:38) | |
| Es scheint so, als ob sich das Problem wieder aus meinem Rechner (er ist z. Zt. alleine im Netz) verflüchtigt hat. Alles deutet auf Warpzilla-0-9-5-ml.exe als Ursache hin; was auch immer da vor sich geht.
Seit ich den heute wegen einiger Probleme (siehe auch http://de.os2.org/forum/helpdesk/?list=46188) durch den Latest Build vom 15.11. ersetzt habe, ist dieser mysteriöse Datenspuk vorbei und Injoy beendet sich wieder wie gewohnt nach ein paar aktivitätslosen Minuten. Vielleicht erspart dies ja auch noch jemand anderem ein paar graue Haare ;-) |
| 22.11.2001 |
| Re: TCPIP-Spürhund (Nachtrag) (von: Andi B., 08:00:34) | |
| Wenn Du injoy als Dialer verwendest ist es relativ einfach rauszufinden wer die Verbindung aufbaut - die Anfrage die injoy veranlasst zu wählen wird in einer Datei mitgeloggt die sich mit ipformat in ein leserliches Format verwandeln läßt. Ich glaub die heißt dod.irgendwas?!?
Einfach im injoy Verzeichniss gleich nach dem ersten einwählen mit dir /od danach suchen. Wahrscheinlich muß dabei bei injoy tracing aktiviert sein. Ich hab dafür schon eine batch Datei die mir das formatierte Ergebniss in meinem Lieblingseditor anzeigt. Meist sind es irgendwelche dämlichen DNS Anfragen vom Win98 Rechner meiner Kinder, z.B. sucht der immer nach einem Rechner names config.ini. Damit solche Anfragen nicht an den DNS Server meines Provider gehen, trage ich diese in die hosts Datei ein und verweise auf das Loopback interface 127.0.0.0 Hat bis jetzt fast immer geklappt. Leider hab ich seit kurzem einen Fall, wo das nicht mehr funktioniert. Mein Warp4 Rechner schickt seit einiger Zeit nach dem booten eine Anfrage an einen Rechner im LAN, und obwohl dieser in der host Liste des Internetgateway Rechners (eCS prev2) steht, wird trotzdem ins Internet gewählt. Warum ist mir noch schleierhaft. (Look through host list befor ... o.ä. ist aktiviert) Aber prinzipiell funktioniert diese Methode. |
| ( Zeige die Threadübersicht ) | [ Version zum Drucken ] | ( Zur Startübersicht ) |
| |||
| Mit * markierte Felder müssen ausgefüllt werden ! |
|
