joern1
Goto Top

Nicht nachvollziehbarer Traffic

Folgendes Problem:

Ich habe festgestellt, dass ich innerhalb von 3 Tagen ca. 5 Gigabyte verbraucht habe, ohne dass ich nur im Ansatz nachvollziehen könnte, wofür. Ich habe es nur deshalb bemerkt, weil ich gerade eine UMTS-Verbindung mit Volumenlimit nutze.

Ich habe daraufhin eine Live-CD sowohl von Avira als auch von Kaspersky laufen lassen, ohne jedes Ergebnis.

Kann mir irgendjemand einen Tip geben, was da los sein könnte?

Content-ID: 218888

Url: https://administrator.de/forum/nicht-nachvollziehbarer-traffic-218888.html

Ausgedruckt am: 27.12.2024 um 11:12 Uhr

certifiedit.net
certifiedit.net 09.10.2013 um 14:20:52 Uhr
Goto Top
Updates, Spiele? In welchem Szenario? Ein ganzes Netzwerk? @joern1, wir sind Informationstechniker, dazu benötigen wir allerdings einen gewissen Ansatz.
113436
113436 09.10.2013 um 14:23:43 Uhr
Goto Top
Das hatte ich auch. Und zwar müllte mir Kaspersky dern PC voll.
da half im ordner c:\program data\kaspersky lab alles zu löschen und das ungefähr einmal im monat.
joern1
joern1 09.10.2013 um 14:38:07 Uhr
Goto Top
Ich meine, dass ich Updates ausschließen kann. Windows und Office - Updates kann ich definitiv ausschließen, sonst wohl auch alles, was nur annähernd soviel Traffic verursachen kann.

Spiele mache ich überhaupt nicht.

Ich weiß nicht genau, was mit "Szenario" gemeint sein soll. Ich halte mich gerade in den USA auf und habe dort (sicherheitshalber) zwei Mobile Broadband - Zugänge (einmal T-Mobile USA und einmal AT&T). Beide nutze ich schon seit Jahren, ich bin häufiger in den USA. Sowas wie jetzt habe ich noch nie erlebt. Beide Mobile Broadband - Zugänge (bei T-Mobile ist es HSDPA, bei AT&T ist es LTE) nutze ich über einen Mobile Hotspot. Ich kann aber nahezu sicher ausschließen, dass sich jemand anderes in mein Mobile Hotspot WLAN eingeloggt hat. Der immense Traffic tritt bei beiden Zugängen auf. Ich habe mir den NetSpeedMonitor heruntergeladen, aber wirklich viel erkenne ich daran auch nicht. Ich bin kein Profi, nur ein ziemlich intensiver Nutzer.

Vielen Dank im übrigen für die rasche Reaktion!
goscho
goscho 09.10.2013 um 14:40:50 Uhr
Goto Top
Mahlzeit,
wenn du die UMTS-Verbindungen nur mit diesem PC aufbaust, solltest du eventuell erst einmal in der Software des Anbieters nach dem Anrufverlauf schauen, wann diese Volumina verbraucht wurden.

Meine Kristallkugel ist noch in der Werkstatt zur monatlichen Wartung. face-smile
certifiedit.net
certifiedit.net 09.10.2013 um 14:43:41 Uhr
Goto Top
Wer weiss, vielleicht ein Handy OTA Update ovgl. Das müsste man analysieren. Die Anhaltspunkte hast du jetzt.
joern1
joern1 09.10.2013 um 14:45:11 Uhr
Goto Top
Wenn ich mich auf der Website von T-Mobile USA bzw AT&T einlogge, kann ich schon sehen, dass die Volumina tatsächlich in den letzten drei Tagen verbraucht worden sind.
goscho
goscho 09.10.2013 um 14:59:52 Uhr
Goto Top
Zitat von @joern1:
Ich meine, dass ich Updates ausschließen kann. Windows und Office - Updates kann ich definitiv ausschließen, sonst
wohl auch alles, was nur annähernd soviel Traffic verursachen kann.
Kennst du alle Programme auf deinem PC, die automatische Updatefunktionen dabei haben?
Spiele mache ich überhaupt nicht.
Gut
Ich weiß nicht genau, was mit "Szenario" gemeint sein soll. Ich halte mich gerade in den USA auf und habe dort
(sicherheitshalber) zwei Mobile Broadband - Zugänge (einmal T-Mobile USA und einmal AT&T). Beide nutze ich schon seit
Jahren, ich bin häufiger in den USA. Sowas wie jetzt habe ich noch nie erlebt. Beide Mobile Broadband - Zugänge (bei
T-Mobile ist es HSDPA, bei AT&T ist es LTE) nutze ich über einen Mobile Hotspot.
Was ist das für dein Mobile Hotspot für ein Gerät?
Könnte dieses gehackt worden sein und andere surfen darüber?
Ich kann aber nahezu sicher
ausschließen, dass sich jemand anderes in mein Mobile Hotspot WLAN eingeloggt hat.
Na wenn es das nicht ist, bleibt ja nur noch dein PC übrig, oder?
Der immense Traffic tritt bei beiden
Zugängen auf.
Hast du aktuell immer noch diesen Traffic oder heißt dass, dass beide Tarife am Limit angekommen waren?
Wie nutzt du beide parallel?
Ich habe mir den NetSpeedMonitor heruntergeladen, aber wirklich viel erkenne ich daran auch nicht. Ich bin kein
Profi, nur ein ziemlich intensiver Nutzer.
Du solltest pragmatisch vorgehen:
  • Nur ein Gerät mit dem Hotspot verbinden.
  • Alle sonstigen Dienste (außer die deines BS), die ins Internet verbinden, abstellen und dann schauen, ob immer noch dieser Trafficverursacher da ist.
  • Dann mal offline nach Schädlingen scannen.
MrNetman
MrNetman 09.10.2013 um 15:04:36 Uhr
Goto Top
Hi Jörn,

erstmal Details.
Ich vermute es geht um einen Windows PC mit Microsoft Office. Welche Version?
Wie wählst du dich in UMTS ein? - Handy oder USB-Stick oder integriertes Modem oder externer Router? Gerade bei zwei Provider stellt sich diese Frage wohl.
Was arbeitest du online? - Web, Email oder dropbox, skydrive?
Wen du WIN hast, dann gibt es da einen Taskmanager und Leistungsparameter. Die kann man schon mal beobachten.

Gruß
Netman
lukluk
lukluk 09.10.2013 um 15:30:18 Uhr
Goto Top
Evtl. weit hergeholt aber das hatte ich mal erlebt:
am Handy hing bei mir mal eine Mail inkl. Anhang im Postausgang und das Ding hat immer wieder versucht die Mail rauszuschicken - leider ohne Erfolg.
So waren auch innerhalb von 3 Tagen gute 5Gb weg udn die Telekom hat die Drossel angesetzt.

Hast du evtl. mal dein Mailprogramm (sofern vorhanden) geprüft, ob da etwas raus will? Ansonsten gibt es doch mit Sicherheit diverse Tools, die deinen Traffic beobachten können.

Grüße
joern1
joern1 09.10.2013 um 17:20:51 Uhr
Goto Top
Ich habe einfach zwei verschiedene Mobile Hot Spots, im einen ist eine T-Mobile SIM und im anderen eine AT&T SIM. Ich nutze mal den einen, mal den anderen, weil ich auf jedem 5 GB Inklusiv-Volumen pro Monat habe.

Ich habe natürlich bereits offline nach Schädlingen gescannt. Ich habe sowohl mit einer Live-CD von Avira und dann auch mit einer von Kaspersky mein Notebook überprüft. Also von CD bzw. Stick gebootet und dann gescannt. Ohne irgendeinen Schädling zu finden.

In den letzten drei Stunden habe ich wieder etwa 800 MB Download-Traffic gehabt, habe ich mit NetSpeedMonitor gemessen. Upload weniger, es ist im wesentlichen Download.

Das wäre eben die Frage, wie ich herausfinde, welches Programm das auf meinem Rechner verursacht. Ich kann nicht ausschließen, das irgendwelche Programm auch mal ein automatisches Update ziehen, aber nach meiner Erfahrung sind das vielleicht mal, wenn es hoch kommt, ein paar 100 MB. Keine 5 GB.

Wie kann ich den Internet-Traffic genau nachvollziehen, also welches Pogramm / welcher Prozess / welcher Dienst verursacht ihn? Mir ist schon klar, dass ich das den Verursacher finden muss, aber wie mache ich das? Gibt es da irgendein Tool, dass man auch als Nicht-IT-Experte einsetzen und verstehen kann?
joern1
joern1 09.10.2013 um 17:26:34 Uhr
Goto Top
Windows 7 mit Office 2013.
Online arbeite ich im wesentlichen mit Internet Explorer und MS Outlook 2013.
In geringem Umfang nutze ich SkyDrive, aber das verursacht nicht den Traffic, da bin ich ziemlich sicher.
aqui
aqui 09.10.2013, aktualisiert am 13.10.2013 um 16:43:27 Uhr
Goto Top
Wireshark ist hier wie immer dein Freund ! Nicht machen am Rechner und den Traffic beobachten. Anhand der IP Adressen und Domain Namen hast du damit doch im Handumdrehen raus wer oder was diesen Traffic verursacht und kannst das dann auch abstellen !
istike2
istike2 10.10.2013 um 00:11:04 Uhr
Goto Top
Eventuell mit Netstat http://www.nwlab.net/tutorials/netstat/offene-ports-netstat.html

Ich weiß nicht ob du mit den Ergebnissen was anfangen kannst face-smile

Wenn du Netstat mit Admin-Rechten ausführst zeigt er die mit den Parametern -b -f ziemliche viele Sachen an: also "netstat -b -f" in dem CMD-Fenster.

Gr. I.
MrNetman
MrNetman 10.10.2013 um 08:40:53 Uhr
Goto Top
Die Sysinternals Tools haben mit procmon eine Möglichkeit Prozesse und Traffk zuzuordnen.
Aber Wireshark ist das Tool der Wahl. Wenn du nicht alles aufzeichnen willst, dann kann man dort auch die aufgezeichneten Pakete kürzen oder nur mit Statistiken zu den Zielen und Ports arbeiten.
Beide Tools zusammen zeigen dir alles, was du wissen willst.

Und was verstehst du unter einem UMTS Hotspot?
Die offizielle Bezeichnung dafür ist ein eingerichtetes Netzwerk, das man gegen Entgelt nutzen kann. Der Spot selbst ist quasi stationät.
Ich vermute aber, dass du einen oder zwei UMTS Router einsetzt, deren mobile Version manchmal auch so bezeichnet wird.
joern1
joern1 10.10.2013 um 13:45:18 Uhr
Goto Top
Mit Hilfe der "Address Resoution" von Wireshark meine ich festgestellt zu haben, dass der Traffic sehr häufig von Microsoft-Seiten ausgeht, zum Beispiel sehe ich sehr oft folgende URL:

news.de.db2.cb3.glbdns.microsoft.com

Was in aller Welt ist das, wie kann ich das abstellen?

Seit kurzem nutze ich MS Office 365, hängt das irgendwie damit zusammen? Aber es kann doch nicht sein, dass das zu täglich 2 GB Traffic ohne jegliche User-Aktivität führt, oder?
MrNetman
MrNetman 10.10.2013 um 14:12:09 Uhr
Goto Top
Browsertools? zusätzlich installierte Menüleisten von Gratisprogrammen?
Feeds (im Mailprogramm) abonniert?

Onlineprogramme wie office 365 ? Da würde ich lieber lokal arbeiten, wenn es um Datenmengen geht.
joern1
joern1 10.10.2013 um 14:16:41 Uhr
Goto Top
Ich nutze auch nur die MS-Office-Desktopversionen, die man sich als Office-365-Kunde ebenfalls herunterladen kann.
Violet
Violet 11.10.2013 um 11:35:15 Uhr
Goto Top
Ein Freund hat mir mal von einem Programm erzählt, dass den Traffic überwacht, irgendwas mit "-snitch" im Namen drin. Kennt das zufällig wer? Danke.
MrNetman
MrNetman 11.10.2013 aktualisiert um 12:42:13 Uhr
Goto Top
Neben Wireshark, dass du selber starten kannst, gibt es noch diverse Apps und kommerzielle Programme (Clearsight Analyzer ...), und die NSA.
Ein Tool könnte noch helfen. Es ist deutlich leichter verständlich und liefert die Infos, die du brauchst.
WildPackets OmniPeek Personal
Auch wenn er es nicht wirklich etwas anders macht als ein Wireshark, ist die Präsentation deutlich einfacher uns die Bedienung somit auch.
108012
108012 11.10.2013 um 12:45:31 Uhr
Goto Top
Ein Freund hat mir mal von einem Programm erzählt, dass den Traffic überwacht, irgendwas mit "-snitch" im Namen drin. Kennt das zufällig wer? Danke.
Das Programm heißt "Little Snitch" und ist für das OS Apple MacOS, es handelt sich um eine umgedrehte
Firewall die alles meldet und auch regelen kann was aus dem MacOS heraus Kontakt nach "draußen"
aufnehmen möchte.

Gruß
Dobby
MrNetman
MrNetman 11.10.2013 um 13:05:01 Uhr
Goto Top
Firewalls, die ausgehenden Verkehr kontrollieren gibt es viele.
Aber bis dato ist dir ja gar noch nicht klar, wer den Verkehr verursacht. Und solange kannst du den nicht daran hindern raus zu gehen, ohne deine normale Arbeit zu beeinträchtigen.
Später könntest du über Ziel-IP, Ziel-Port oder Ziel-DNS eine Sperrregel definieren.
joern1
joern1 11.10.2013 um 13:57:40 Uhr
Goto Top
Vielen Dank für alle Tipps,

insbesondere für den Hinweis auf Wireshark, womit es mir gelungen ist, die Ursache zu finden und das Problem dann abzustellen.

Mit Wireshark konnte ich identifizieren, dass etwa 90 % des Traffics zu einer IP ging, hinter der sich "imap.strato.de" verbarg. Damit war dann also klar, dass die IMAP-Konten in meinem Outlook den Traffic verursachten. Ich hatte vor einigen Wochen eine größere Zahl von IMAP-Konten in Outlook eingerichtet. Der restliche Traffic ging zu einer weiteren IP, hinter der ebenfalls ein E-Mail-Provider steckte, für den ich ein IMAP-Account eingerichtet hatte.

Ich kann also feststellen, dass 8 IMAP-Accounts in Outlook (bei Abfrage alle 30 Sekunden, was bei mir so eingestellt war), einen Traffic von 1 Mbits verursacht (im wesentlichen Downstream), da kommt in einigen Stunden natürlich schon etwas zusammen. Sonderbarerweise verursachen meine drei Exchange-Accounts, die ich ebenfalls in Outlook eingerichtet habe, fast überhaupt keinen Traffic. Warum auch immer.
aqui
aqui 13.10.2013 um 16:46:06 Uhr
Goto Top
Und um abschliessend noch die Frage von Violet zu beantworten:
http://www.obdev.at/products/littlesnitch/index-de.html