Kaspersky CBE 10 erzeugt fröhlich Traffic

[AP Nova]

Seit ich vorgestern auf die Kaspersky CBE 10 Version gewechselt bin habe ich einen deutlich höheren Traffic. An sich wäre das kein Problem, da ich aber eine Satellitenverbindung verwende und diese ähnlich nett reguliert wird wie UMTS-Verbindungen, würde ich gerne möglichst viel Traffic sparen.

So wie es aussieht kontrolliert Kaspersky jedes bisschen entstehenden Traffic, solange man nicht ausdrücklich sagt, dass diese Art von Traffic nicht überprüft werden soll. Dummerweise scheint nicht so überprüft zu werden, dass alles nur einmal gesendet wird, stattdessen wird alles doppelt gesendet, was ich mir natürlich nicht erlauben kann.

Die "Lösung": Den Verkehr von Firefox nicht überprüfen zu lassen, so spare ich mir den allergrößten Teil der doppelten Daten. (Habe gerade entsprechende Option aktiviert und siehe da, der Kaspersky-Zähler steigt nicht mehr, der von Firefox schon)
Die Frage ist nur: Ist es sicherheitstechnisch vertretbar, allen Verbindungen von Firefox freien Lauf zu lassen?

Danke für eure Hilfe

 

[sebi100]

wenn ch mal fragen dürfte.. .wo finde ich den trraffic zähler?

 

[SonGohan]

dumeter / netmeter / Bwmeter usw

oda meint ihr nen FF internen traffic zähler wenn ja wüsst ich net wo einer is

 

[Scheinweltname]

Dummerweise scheint nicht so überprüft zu werden, dass alles nur einmal gesendet wird, stattdessen wird alles doppelt gesendet, was ich mir natürlich nicht erlauben kann.

ich bin mir gar nicht so sicher, dass die Daten, die für Kaspersky verbucht werden, tatsächlich doppelt gesendet/ empfangen wurden.

Wenn du dir mal die Netzwerkverbindungen anguckst, dann siehst du, dass Firefox auf einem KIS-System NIEMALS direkt Verbindung zum Internet herstellt; d.h. er empfängt immer nur "offline" die Dateien, die KIS an ihn lokal weiterreicht.

In den Berichten von KIS 2010 steht für KIS selbst sehr viel Traffic; ich denke aber, dass das nur der insgesamt untersuchte ist. Es macht ja auch keinen Sinn, wenn sowohl KIS als auch der Firefox die selben Seiten öffnen, Daten empfangen usf.

Meines Wissens ist der KIS-Prozess avp.exe der einzige, der überhaupt Daten aus dem Internet empfängt; er verteilt dann die Daten an die eigentlichen Prozesse weiter.

Hast du einen Nicht-Kaspersky-Traffic-Monitor, z.B. von deinem UMTS-Netzwerkgerät, der alles misst, was von deinem System gesendet/ empfangen wird?

Das Web-AV-Modul von KIS macht in meinen Augen nicht viel Sinn, wenn man den Firefox von der Untersuchung ausschließt.

@Sebi100: Startfenster --> Netzwerkmonitor (kleiner Link rechts unten) --> "Netzwerkverkehr" (meine ich jedenfalls ... benutze mittlerweile KIS 2011)

 

[AP Nova]

Abgesehen vom Kaspersky Netzwermonitor habe ich nur die Windows Bordmittel, wie z.B. den Ressourcenmonitor, der mir aber auch anzeigt, welche Prozesse eine Verbindung aufbauen.
Außer avp.exe wird aktuell noch eine Verbindung über miranda32.exe, firefox.exe, perfmon.exe (erwähnter Ressourcenmonitor), svchost.exe und "System" angezeigt.
Lasse ich den Traffic von FF wieder kontrollieren verschwinden die entsprechenden Einträge, übrig bleiben die anderen Prozesse.

Wenn also wirklich jeglicher Traffic nur über Kaspersky wandert und nicht unnötig viel Traffic erzeugt wird, dann ist das in Ordnung. Aber das wirklich alles doppelt geladen wird kann ich mir nicht leisten.

edit: "firefox.exe" bleibt doch da bei Aktivität, auch mit überwachtem Traffic. Als Adresse steht entweder mein Computername da oder eine kurze Alphanumerische Zeichenkette. Ich denke zur Kontrolle könnte ich mal alles abschalten, einfach nur die übermittelten Daten beim Netzwerkadapter anschauen und eine kleine Datei laden, im Idealfall sollte der Traffic dann nur etwa bei der Dateigröße liegen.

edit2: Andererseits passt der Gesamttraffic von heute in Kaspersky damit zusammen, was mir mein Netzwerkadapter sagt. Laut diesem gab es heute etwa 25 MB down, davon kommen 20 auf Firefox (laut Kaspersky). Kaspersky will mir aber was von etwa 40 insgesamt erzählen, was passt, wenn man die Zeit berücksichtigt, in der ich unkontrollierten Traffic hatte, also nicht doppelt gezählt wurde. Der Upload hingegen passt mit 5 angegebenen MB in Kaspersky zu den 5 MB, die mir der Adapter sagt.
So wie es scheint wandern eingehende Verbindungen also prinzipiell (außer wenn man sie ausdrücklich nicht kontrollieren lässt) über Kaspersky, ausgehende scheinen nicht kontrolliert zu werden bzw. dürfen vom Programm selbst durchgeführt werden.

 

[Scheinweltname]

edit: "firefox.exe" bleibt doch da bei Aktivität, auch mit überwachtem Traffic. Als Adresse steht entweder mein Computername da oder eine kurze Alphanumerische Zeichenkette.

das ist normal, weil die Prozesse ja mit avp.exe kommunizieren müssen.

Aber du wirst bei Überwachung durch KIS keinen Eintrag finden, in dem ein anderer Prozess als *.avp.exe mit einer echten IP-Adresse verbunden ist. Alle anderen Prozesse tauschen Daten zwischen lokalen Ports hin und her (localhost, 127.0.0.1:1110 <--> 127.0.0.1:5xxxx <--> 127.0.0.1:5xxxx). Nur für avp.exe gibt es Einträge nach dem Muster: Deine IP-Adresse <--> IP-Adresse einer Webseite.

So wie es scheint wandern eingehende Verbindungen also prinzipiell (außer wenn man sie ausdrücklich nicht kontrollieren lässt) über Kaspersky, ausgehende scheinen nicht kontrolliert zu werden bzw. dürfen vom Programm selbst durchgeführt werden.

ich denke eher, dass KIS den ausgehenden Traffic nicht in den gesamt-Traffic für ein Programm einrechnet. Weiß ich aber nicht genau (das Verhältnis Senden : Empfangen liegt durchschnittlich vermutlich irgendwo bei 1 : 15 , wenn man nicht täglich bei Youtube Videos hochlädt). Wenn du insgesamt 25MB empfangene Daten hast, dann wirst du vermutlich höchstens 1MB Daten-Versand haben; so richtig fällt das in der Statistik nicht auf.

 

[AP Nova]

Nach ein wenig Surfen heute kamen nun folgende Werte zustande:
Netzwerkadapter: 11 MB down, 1,5 MB up
Kaspersky gesamt: 20 MB down, 1,6 MB up (interessanterweise mehr als wirklich über den Adapter lief)
Kaspersky Firefox (andere Verbindungen machen keine 50 kB aus): 9,5 MB down, 850 kB up
Kaspersky selbst: 9,3 MB down, 750 kB up

Daraus schließe ich folgendes:
-Prinzipiell wandert jeglicher eingehender Verkehr über Kaspersky, solange man die Überprüfung nicht deaktiviert, erst danach kommen die Daten zum eigentlichen Programm
-Upload scheint größtenteils direkt vom Programm ins Internet zu gehen, ein kleiner Teil wird dann aber wohl doch erst noch von Kaspersky kontrolliert.

Von daher gibt es auch keinen doppelten Traffic, die Darstellung wurde nur etwas ungünstig gewählt.

Allerdings frage ich mich: Könnte sich dieses Vorgehen bei Netzwerkspielen negativ auswirken, wenn erstens ein wenig Leistung von der CPU abgezweigt wird und zweitens das Signal etwas länger benötigt bzw. wie viel länger benötigt das Signal und wie viel Leistung geht unnötig flöten dadurch?

 

[Scheinweltname]

Allerdings frage ich mich: Könnte sich dieses Vorgehen bei Netzwerkspielen negativ auswirken, wenn erstens ein wenig Leistung von der CPU abgezweigt wird und zweitens das Signal etwas länger benötigt bzw. wie viel länger benötigt das Signal und wie viel Leistung geht unnötig flöten dadurch?

ich hab Unreal Tournament 3 sowohl mit KIS 2010 als auch nur mit Microsoft Security Essentials und der Win-Firewall gespielt; ich habe keinen Unterschied beim Ping bemerkt, geschweige denn bei den netstats von UT3 gesehen.

Allerdings hatte ich das Gefühl, dass ich mehr fps hatte, nachdem ich KIS 2010 deinstalliert hatte. Hab aber keinen direkten Vergleicht gemacht.