calebadm
Goto Top

SNMTP Trap Protokoll - Port 162 (regelmäßiger Traffic von IP x zu IP y)

Hallo liebe Informatiker.

Ich frage mich derzeit, warum IP x (lokaler Client) alle 10 Sekunden versucht eine Verbindung zu einer lokalen IP y über Port 162 aufzubauen.

Die IP y (192.168.0.3) gibt es in unserem Netzwerk nicht. Das vorletzte Oktett stimmt auch nicht mit unserem IP-Bereich überein.

Ich habe bereits den Dienst SNMTP-Trap am lokalen Rechner beendet/deaktiviert, welcher über den Port 162 kommuniziert.

Der Datenverkehr besteht weiterhin O_o

Ich meine, die Firewall blockt den Verbindungsaufbau sowieso, aber muss das denn sein, dass hier unnötig Datenverkehr "fließt"?

Könnt ihr mich aufklären, was hier passiert? - Das ist der einzige Rechner hier im Netz und er steht mittlerweile an Stelle 1 der häufigst geblockten Verbindungen.


Vielen Dank und liebe Grüße von
calebAdm

Content-ID: 252127

Url: https://administrator.de/contentid/252127

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

chiefteddy
Lösung chiefteddy 16.10.2014, aktualisiert am 04.11.2014 um 11:54:29 Uhr
Goto Top
Hallo,

wenn man mal von Virus etc. absieht, muß ja nicht nur das Betriebssystem SNMP-Traps versenden, Auch andere Geräte / Programme können SNMP-Traps versenden: Druckertreiber / Management-Software lokal verwalteter Drucker, USV-Software, Datenbank-Management-Software, Management-Software von IP-Kameras usw.

Du mußt schon den Dienst / Software identifizieren, die die Pakete veranlaßt.

Jürgen
MrNetman
Lösung MrNetman 16.10.2014, aktualisiert am 04.11.2014 um 11:54:27 Uhr
Goto Top
SNMP (UDP) Traps werden verschickt ohne das Ziel zu verifizieren.
Wenn also an irgendeinem Gerät so was konfiguriert war oder ist, macht das Verkehr.
Nur reguläre Traps werden nicht im 10 Sekunden Rhythmus verschickt. Selbst Netflow Statistiken werden nur im Minutentakt verschickt (UDP 161)
Traps beinhalten aber immer eine typische OID. DIe ist sehr gut zu erkennen und beginnt meist mit 1.3.6.1.2
Andere Inhalte, die man mit Wiresharrk gut erkennen kann sind nichzt zu erwarten. Uasgenommen ist immer der Communitystring, das Passwort.

Gruß
Netman
calebAdm
calebAdm 16.10.2014 aktualisiert um 15:36:39 Uhr
Goto Top
ProcessName

AppleMobileDeviceService
audiodg
bdagent
bdwtxag
bdwtxcr
BtvStack
chrome
chrome
chrome
chrome
chrome
CLRHost
cmd
csrss
csrss
dllhost
dwm
EXCEL
explorer
Fixwin
Fixwin
Fixwin
HeciServer
hkcmd
Idle
igfxtray
LMS
lsass
lsm
MSACCESS
nsd
ntmulti
rundll32
SearchIndexer
services
smss
spoolsv
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
svchost
System
taskhost
updatesrv
vsserv
wininit
winlogon
wmplayer
wsmprovhost

Ich habe schonmal ein paar Prozesse rausgehauen, der AppleMobileDeviceService startet sich automatisch neu - meine Vermutung liegt bei diesem Prozess...
Trial and Error - ich kille einzelne Prozesse per Powershell - die Pakete kommen immernoch im 10-Sekunden-Takt
MrNetman
Lösung MrNetman 16.10.2014, aktualisiert am 04.11.2014 um 11:54:21 Uhr
Goto Top
Du sollst nicht raten sondern die Pakete analysieren. Anhand der OID kann man dann weiter sehen.
Ist der SNMP-Dienst überhaupt aktiviert und in den Prozessen sichtbar?
calebAdm
calebAdm 16.10.2014 um 16:31:45 Uhr
Goto Top
Hier haben wir einmal nen Päckchen vom WireShark "Lieferservice"

c70af13dfa3b2c4d7b375664c117a4a6
chiefteddy
chiefteddy 16.10.2014 um 17:28:26 Uhr
Goto Top
Hallo,

schon mal etwas von Google gehöhrt?

http://www.iana.org/assignments/enterprise-numbers/enterprise-numbers

Die Trap-Adresse lautet: 1.3.6.1.4.1.3183.1.1

Die entscheidende Info ist: 3183 --> Damit kann man den Eigentümer dieser MIB-Adresse/Variablen ermitteln

--> 3183
Wired for Management
Ramin Neshati
ramin.neshati&intel.com

Die Traps werden vermutlich von einem Management-Tool von Intel versendet.

Jürgen
calebAdm
calebAdm 16.10.2014 um 19:54:19 Uhr
Goto Top
Danke ich werde das gleich mal ausprobieren und einen intel prozess killen ^^
Bentzien
Bentzien 23.01.2015 um 12:16:03 Uhr
Goto Top
Hi,

hast du herausgefunden welcher Intel Prozess bzw. welche Software das Paket sendete?

Ich habe das selbe Problem auf 2 Rechnern und suche gerade.

Gruß Carsten
calebAdm
calebAdm 27.01.2015, aktualisiert am 04.02.2015 um 17:22:53 Uhr
Goto Top
Mhh den Prozess weiß ich gerade nicht, aber ich meine es war sogar in der Trayleiste und musste nur aus dem Autostart genommen werden.

Aber das ist jetzt nur eine Vermutung...

Du kannst natürlich auch:

a3480649eb5aa707aaff40a90912eb8c

Einfach mal ne Retoure zum Absender bzw. Verursacher :D