passt 10 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 Hallo allerseits, meine Firewall sagt mir, dass mein Rechner minütlich versucht per UDP eine SNMP Verbindung zu einer privaten IP Adresse außerhalb des Firmennetzes aufzubauen. Sorge macht mir nicht das Zielnetz, da es mir bekannt ist. Allerdings möchte ich das abstellen. Dazu müsste ich wissen welche Anwendung das ist. Ich versuche mit [netstat -an 1 | find "161"] im Sekundentakt den Verbindungsversuch zu erwischen. Leider über mehrere Minuten hinweg erfolglos. Was mache ich falsch? Gruß, Peter Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 UDP Verbindungen lass sich mit netstat nur schwer aufspüren, da sie "verbindungslos" sind. Du solltest es mit Tools wie Netmon der Wireshark probieren. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 Es wird ja wohl nur ein 3rd Party Dienst sein können, ein Sauberer Neustart hilft es abzustellen: http://support.microsoft.com/kb/929135/de Alternativ einfach mal die 3rd Party Dienste nacheinander deaktivieren. Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 18. September 2013 Autor Melden Teilen Geschrieben 18. September 2013 Ich versuche es erstmal mit Wireshark. Wireshark zeigt mir tatsächlich zahlreiche wiederkehrende UDP Pakete mit der besagten Ziel-IP und Port 161 SNMP an. Wie kann ich jetzt daraus die Anwendung identifizieren, die dafür verantwortlich ist? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 Wieviele 3rd Party Dienste hast Du installiert? Wenn keine EXE in Wireshark angezeigt wird, würde ich bei den Diensten ansetzen. ISt vermutlich schneller gemacht als hier auf Antwort warten. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 Probiere mal Microsoft Netmon. Der zeigt u.u. auch den Process an. http://www.microsoft.com/en-us/download/details.aspx?id=4865 Auch eine Möglichkeit: in der Windows-Firewall alles blocken und eine Log-Datei vom FW-Dienst schreiben lassen. Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 18. September 2013 Autor Melden Teilen Geschrieben 18. September 2013 Ich habe es herausgefunden. Die Ziel-IP stammt von einem Netzwerkdrucker, der bei mir eingerichtet ist. Da das Netz derzeit nicht erreichbar ist, ist der Drucker offline. In den Diensten finde ich aber auch nichts, was auf diesen Drucker hinweisen könnte. Hat jemand eine Idee was ich abschalten muss? Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 18. September 2013 Melden Teilen Geschrieben 18. September 2013 Der Windows TCP Druckdienst / Port greift per Default per SNMP auf den Drucker zu (z.B. um Warnungen vom Drucker anzuzeigen). Das kann man in dem entsprechenden Port-Einstellungen abschalten. Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Was meinst du mit "Das kann man in dem entsprechenden Port-Einstellungen abschalten". Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Ich meine den "Standard-TCP/IP-Port" in den Druckereigenschaften. Zitieren Link zu diesem Kommentar
passt 10 Geschrieben 23. September 2013 Autor Melden Teilen Geschrieben 23. September 2013 Danke, genauso hat es funktioniert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.