mabre2 10 Geschrieben 31. Dezember 2006 Melden Teilen Geschrieben 31. Dezember 2006 Hallo, ich bin mal wieder echt ratlos. Mein SBS 2003 blockiert mir alle paar Stunden immer um die gleiche Zeit (fünf vor) den Internetzugang..... Der arme Router ist dann völlig überfordert.....und ich weiss nicht warum und welche Anwendung das macht. Wie kann ich denn feststellen, welche Anwendungen welche Anfragen rausschicken? Gibt es da ein Protokoll, dass ich aktivieren kann? Der SErver macht Anfragen an eine im Internet unbekannte IP auf die unmöglichsten Ports: 35202 33074 33075 usw. oder auf unterschiedliche IP Adressen 169.254.x.y die er dann hochzählt..... das weiss ich durch die Auswertung des NAT auf dem Router. aber woher kommen die Anfragen? Könnt Ihr mir sagen wie das rausfinden kann? Vielen Dank! Mabre2 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Dezember 2006 Melden Teilen Geschrieben 31. Dezember 2006 Haste mal einen Virenscanner oder Spywarescanner laufen lassen ? Poste auch mal, zu welchem Server und Port er sich verbinden will ... Zitieren Link zu diesem Kommentar
mabre2 10 Geschrieben 31. Dezember 2006 Autor Melden Teilen Geschrieben 31. Dezember 2006 Virenscanner und Spybot habe ich schon lagen durch Der SErver ballert den Nat des Routers voll ,bis der kollabiert.... Der Router hat uach noch eine 2. Netzwerkadresse : 84.165.105.118 statt 192.1.68.199.254Kann das Was mit dem DNS Server zu tun haben? der .5 ist mein Arbeitsplatz und dann werden immer anfragen an so komisch ePorts gemacht wie z.B. 30323 der Router protokolliert wie folgt: 21:54:44 DEBUG/INET: dnsd: qry from 192.168.199.5:3006 id 15013 "rcserver1.ril-chemie.local." A 1 21:54:44 DEBUG/INET: dnsd: cache neg for rcserver1.ril-chemie.local. 21:54:44 DEBUG/INET: dnsd: rsp to 192.168.199.5:3006 id 15013 "rcserver1.ril-chemie.local." A 0/0/0 21:54:44 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.199.5:45870/84.165.105.118:36468 -> 213.189.183.24:2125 21:54:44 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.199.5:45870/84.165.105.118:36467 <-> 69.254.33.248:30323 21:55:08 DEBUG/INET: NAT: new incoming session on ifc 10001 prot 17 192.168.199.210:1526/84.165.105.118:1026 <- 217.110.107.182:30830 21:55:10 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.199.1:512/84.165.105.118:33469 -> 169.254.0.15:0 21:55:10 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.199.1:512/84.165.105.118:33470 -> 169.254.0.16:0 21:55:10 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.199.1:512/84.165.105.118:33471 -> 169.254.0.17:0 Dann zählt er die IP Adressen hoch, zwischendrin macht mein ARbietsplatz so seltsame Anfragen wie : 21:55:14 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 17 192.168.199.5:45870/84.165.105.118:36469 -> 138.232.183.148:13533 21:55:20 DEBUG/INET: NAT: delete session on ifc 10001 prot 17 192.168.199.5:45870/84.165.105.118:36468 <-> 213.189.183.24:2125 und irgendwann ist der NAT voll und fängt an zu löschen. Danke für Deine Hilfe! und eine Guten Ruscht ins neue Jahr! Zitieren Link zu diesem Kommentar
mabre2 10 Geschrieben 31. Dezember 2006 Autor Melden Teilen Geschrieben 31. Dezember 2006 Er zählt die IP hoch bnis 254, dann wir die vorherige Stelle erhöht und weider von 1bis 254 hochgezählt bis 169.254.15.63rufn 3750 Anfragen Zitieren Link zu diesem Kommentar
schotte 10 Geschrieben 1. Januar 2007 Melden Teilen Geschrieben 1. Januar 2007 Hallo, Wie kann ich denn feststellen, welche Anwendungen welche Anfragen rausschicken? evtl. mal eine Firewall installieren. MfG Schotte Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Hallo Mabre2, Du könntest auch mal TCPVIEW (gibt es zum freien Download) auf dem sendenden Rechner anwerfen. Damit bekommst Du auch den Prozess angezeigt, welcher die Verbindung initiiert, ohne gleich eine Firewall installieren zum müssen. Gruß Robert Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 wenn die anfrage immer zum gleichen zeitpunkt kommt, könnte man den traffic bequem mitsniffen mit ethereal/wireshark. du hast dann zwar einen wahrscheinlich recht grossen dump, aber mit hilfe der filter von ws kann man dem ganz schnell herr werden. dann sieht man auch gleich, von welchem client das kommt und evtl. auch, was da mitgeschickt wird. die 169.254.x.x sind ip´s aus dem apipa-bereich (automatic private ip adresses), die von windows automatisch vergeben wird, wenn z.b. kein dhcp verfügbar ist, dass der client wenigstens irgendwie im netz erreichbar ist. wäre interessant zu wissen, warum er gerade auf die range zugreiffen will?? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 3. Januar 2007 Melden Teilen Geschrieben 3. Januar 2007 Hallo guybrush, zu dumm, die APIPA-Adressen sind mir gar nicht aufgefallen... Denke, da ist eine Schadsoftware am scannen und der dumme Router haut die Pakete auch noch raus. Gruß Robert Zitieren Link zu diesem Kommentar
mabre2 10 Geschrieben 6. Januar 2007 Autor Melden Teilen Geschrieben 6. Januar 2007 ERstmal vielen Dank werd das schnellstmöglich mal versuchen und EUch berichten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.