25
Suche ein Programm zum monitoren EINER Netzwerkkarte
Hallo an Alle 
Ich habe eigentlich eine ganz einfache Frage. Ich habe hier ein SoHo mit 3 Win10-Rechnern einen switch dazwischen und ein NAS.
Alle bis auf einen Rechner (mit einer DATEV-Installation, Win10 Pro 21H1 ) laufen problemlos, der DATEV-Rechner eigentlich auch, aber er hämmert mir minütlich SMB-guest-Anmeldungen in das NAS, was das Zugriffsprotokoll völlig sinnlos macht. NAS ist ein Qnap TVS-873
javascript:void(0);
Ich bin noch nicht darauf gekommen, welches Programm oder welcher Dienst dauernd diese Anmeldung versucht.
Ich finde einfach nicht das richtige Programm zur Eingrenzung des Übeltäters.
Ich müßte eigentlich ein Programm finden, was auf dem DATEV-Rechner installiert werden kann, um dann zu monitoren, welches Programm auf die Netzwerkkarte zugreift, und die Anmeldungen versucht.
Die Häufigkeit der "guest"-Anmeldungen müßte dann ermöglich das Problem einzugrenzen.
SMB1 habe ich schon deaktiviert, aber leider keine Änderung.
Der "guest"-Zugang lässt sich bei QNap nicht deaktivieren.
Kann jemand ein Programm empfehlen?
-Dummerweise brauche ich das Programm auch nur einmal. Also auch eine Testversion würde mir
vermutlich ausreichen.
Grüße ins Forum,
und Danke für Eure Vorschläge.
Ich habe eigentlich eine ganz einfache Frage. Ich habe hier ein SoHo mit 3 Win10-Rechnern einen switch dazwischen und ein NAS.
Alle bis auf einen Rechner (mit einer DATEV-Installation, Win10 Pro 21H1 ) laufen problemlos, der DATEV-Rechner eigentlich auch, aber er hämmert mir minütlich SMB-guest-Anmeldungen in das NAS, was das Zugriffsprotokoll völlig sinnlos macht.
NAS ist ein Qnap TVS-873javascript:void(0);
Ich bin noch nicht darauf gekommen, welches Programm oder welcher Dienst dauernd diese Anmeldung versucht.
Ich finde einfach nicht das richtige Programm zur Eingrenzung des Übeltäters.
Ich müßte eigentlich ein Programm finden, was auf dem DATEV-Rechner installiert werden kann, um dann zu monitoren, welches Programm auf die Netzwerkkarte zugreift, und die Anmeldungen versucht.
Die Häufigkeit der "guest"-Anmeldungen müßte dann ermöglich das Problem einzugrenzen.
SMB1 habe ich schon deaktiviert, aber leider keine Änderung.
Der "guest"-Zugang lässt sich bei QNap nicht deaktivieren.
Kann jemand ein Programm empfehlen?
-Dummerweise brauche ich das Programm auch nur einmal. Also auch eine Testversion würde mir
vermutlich ausreichen.
Grüße ins Forum,
und Danke für Eure Vorschläge.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3424542587
Url: https://administrator.de/forum/suche-ein-programm-zum-monitoren-einer-netzwerkkarte-3424542587.html
Ausgedruckt am: 04.04.2025 um 18:04 Uhr
25 Kommentare
Neuester Kommentar
wireshark? und dann filtern auf die Ip der Qnap?
Hallo,
WireShark wäre doch ganz nett dazu, oder?
Dobby
WireShark wäre doch ganz nett dazu, oder?
Dobby
wird sofort probiert.. Melde mich dann.
Danke...
Danke...
Hallo,
das ist ja wohl mal genial.
An den Datev Rechner komme ich erst morgen, aber ich hab
das Programm zum Testen mal auf meinem Rechner
installiert.
Damit komme ich wohl schon mal ein Stück weiter.
Besten Dank für den Tip.
das ist ja wohl mal genial.
An den Datev Rechner komme ich erst morgen, aber ich hab
das Programm zum Testen mal auf meinem Rechner
installiert.
Damit komme ich wohl schon mal ein Stück weiter.
Besten Dank für den Tip.
Da sollte schon TCPView auf dem DATEV-Rechner genügen. Da siehst Du ja dann, welche PID auf den SMB-Port zugreift. Das Programm findest Du dann über die PID mti dem Process Explorer.
Viele Grüße, commodity
Viele Grüße, commodity
Die MS Sysinternal Tools sind dein bester Freund und wurden ja oben schon zu Recht genannt:
https://docs.microsoft.com/en-us/sysinternals/
Damit ist das dann ein Piece of cake...
Taskmanager mit CTRL-Alt-Del und dann auf Autostart hilft manchmal auch.
https://docs.microsoft.com/en-us/sysinternals/
Damit ist das dann ein Piece of cake...
Taskmanager mit CTRL-Alt-Del und dann auf Autostart hilft manchmal auch.
Gucke doch einfach welches PID(s) SMB als Zielport aufmachen...
Geht über netstat -anob
Geht über netstat -anob
Super,
ich habe jetzt alles mal ausprobiert, und denke ich kann
dem Täter auf die Schliche kommen.
Besten Dank an Euch,
ich melde mich dann, weil andere evtl an der Lösung interessiert sind.
Bis dann
Lefty
ich habe jetzt alles mal ausprobiert, und denke ich kann
dem Täter auf die Schliche kommen.
Besten Dank an Euch,
ich melde mich dann, weil andere evtl an der Lösung interessiert sind.
Bis dann
Lefty
Hallo nochmal,
irgendwie bin ich zu dösig den Übeltäter auszumachen
Ich hab mal 2 Bilder vom Network monitor angehängt.
Die angegebene PID hab ich garnicht... ?
Hat jemand eine Idee?
Danke.
irgendwie bin ich zu dösig den Übeltäter auszumachen
Ich hab mal 2 Bilder vom Network monitor angehängt.
Die angegebene PID hab ich garnicht... ?
Hat jemand eine Idee?
Danke.
TCPView
TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections. On Windows Server 2008, Vista, and XP, TCPView also reports the name of the process that owns the endpoint.
Hello Bangalore,
I know TCPView, but it doesn’t show that SMB2 request.
I can see the traffic in Wireshark, and in Microsoft Network-Monitor.
Both are showing PID FEFF (65279) which is not visible existent.
checked with process-explorer.
Any other idea?
I know TCPView, but it doesn’t show that SMB2 request.
I can see the traffic in Wireshark, and in Microsoft Network-Monitor.
Both are showing PID FEFF (65279) which is not visible existent.
checked with process-explorer.
Any other idea?
Das ist ein System-Prozess, irgendwo wirst du also auf der Maschine dein NAS noch eingetragen haben. Suche und entferne es.
Suche und entferne es.
Das versuche ich ja seit geraumer Zeit.
Das versuche ich ja seit geraumer Zeit.
Hallo,
hast Du ein NAS von QNAP? Oder nicht mehr? Aber den Agenten noch oder Software (APps) die darauf zugreifen?
Dobby
irgendwie bin ich zu dösig den Übeltäter auszumachen face-smile
SMB2: SMBOverTCP:85 TVS-873Dobby
Hi,
Das QNAP NAS gibt es (TVS-873), ist auch aktiv.
Netzlaufwerk (ein Freigegebener Ordner ) ist eingebunden.
Alles gleich an drei Rechnern, nur einer versucht dauernd die guest logins...
(Windows 10 pro, 21H1)
Die anderen Rechner (Windows 10 pro 21H1) und (Windows 11 Pro 21H2) machen das faktisch nie.
Das QNAP NAS gibt es (TVS-873), ist auch aktiv.
Netzlaufwerk (ein Freigegebener Ordner ) ist eingebunden.
Alles gleich an drei Rechnern, nur einer versucht dauernd die guest logins...
(Windows 10 pro, 21H1)
Die anderen Rechner (Windows 10 pro 21H1) und (Windows 11 Pro 21H2) machen das faktisch nie.
TCP Port 85 und 84 sind in Benutzung bzw. tauchen immer wieder auf in Deinem Bericht.
Ist die APP QSee QT DVRs bei Euch installiert? DVD oder CD image immer noch eingebunden
in dem Player oder einem anderen Programm?
Portforward.com
Dobby
Ist die APP QSee QT DVRs bei Euch installiert? DVD oder CD image immer noch eingebunden
in dem Player oder einem anderen Programm?
Portforward.com
Dobby
So, hab gerade mal nachgesehen.
Weder QSee noch QT oder DVRs ist installiert. Auch gibt es keine
Imagelaufwerke oder ähnliches. Hab mal gerade die erstellten Verknüpfungen angesehen, auch da verweist keine auf das NAS.
Weder QSee noch QT oder DVRs ist installiert. Auch gibt es keine
Imagelaufwerke oder ähnliches. Hab mal gerade die erstellten Verknüpfungen angesehen, auch da verweist keine auf das NAS.
Auch habe ich keinen HP-Drucker.... Hatte gerade nach den Ports im Internet geforscht.
Deaktiviere Gast Logins auf dem System
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Okay,
das eine , Port 84 ist "ctf" Common Trace Facility,
Port 85 wohl "mit-ml-dev" MIT ML Device.
Wenn ich die an der Firewall sperre, dann ist Ruhe im NAS.
Wofür die Dienste benötigt werden, - keine Ahnung.
Die anderen Rechner haben die gleichen Dienste, bombardieren das NAS
aber nicht mit unsinnigen Zugriffen.
Ich bleib dran...
ich muss
Schönen Abend noch.
das eine , Port 84 ist "ctf" Common Trace Facility,
Port 85 wohl "mit-ml-dev" MIT ML Device.
Wenn ich die an der Firewall sperre, dann ist Ruhe im NAS.
Wofür die Dienste benötigt werden, - keine Ahnung.
Die anderen Rechner haben die gleichen Dienste, bombardieren das NAS
aber nicht mit unsinnigen Zugriffen.
Ich bleib dran...
ich muss
Schönen Abend noch.
Zitat von @bangalore:
Deaktiviere Gast Logins auf dem System
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Deaktiviere Gast Logins auf dem System
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Hi,
steht schon auf "0"
aber danke.
steht schon auf "0"
Dann dürfte das OS selbst auch keine Guest Anfragen mehr senden dürfen. Es muss also eine Drittanbieter Software sein die die Anfragen abfeuert.Check mal ob der Virenscanner hier Unfug treibt und das NW scannt, und deaktiviere diesen. Evt. Ist der Rechner auch infiziert und Ransomware wartet nur drauf zu verschlüsseln.
Ansonsten Image-Backup anfertigen und dann Software für Software deinstallieren bis du den Übeltäter gefunden hast.
Ebenso checke die Anmeldeinformationsverwaltung auf Leichen.
Guten Morgen Bangalore,
"Software deinstallieren"
Das wäre auch meine letzte Idee gewesen.
"Abmeldeinformationsverwaltung"
wo kann ich das prüfen?
Danke
"Software deinstallieren"
Das wäre auch meine letzte Idee gewesen.
"Abmeldeinformationsverwaltung"
wo kann ich das prüfen?
Danke
Sorry Auto-Korrektur Fehler, sollte "Anmeldeinformationsverwaltung" heißen.
Einfach ins Startmenü eintippen dann siehst du was ich meine.
Einfach ins Startmenü eintippen dann siehst du was ich meine.
Okay, werd ich machen.
Kann aber erst heute abend an den Rechner.
Schönen Tag noch,
Kann aber erst heute abend an den Rechner.
Schönen Tag noch,
