Verbindungen überprüfen

[DonSerious]

hallo,

ich habe mir vor Kurzem cports geholt um meine Verbindungen zu überwachen. Leider stelle ich oft "Unknown"-Verbindungen außerhalb des Inetbrowsers fest, die ja normalerweise wiederspiegeln, auf welche Seiten man zugegriffen hat. Manchmal jedoch gibt es selten diese Verbindungen auch einfach außerhalb des Browsers. Diese haben dann den Status "Time Wait".

Bisher machen mir folgende Adressen Sorgen:
213.144.156.27
2.19.253.89
94.188.77.183
147.32.116.109

Alle stammen aus "anderen" Ländern, die nicht üblicherweise von Uplay, Origin oder Steam verwendet werden. Das meiste, was bei mir genutzt wird, kommt von Spotify.

danke und mfg

 

[KillOutZone]

C:\Users\...>nslookup 213.144.156.27
Server: fritz.box
Address: 192.168.178.1

Name: spamwall.gasometerag.ch
Address: 213.144.156.27


C:\Users\...>nslookup 2.19.253.89
Server: fritz.box
Address: 192.168.178.1

*** 2.19.253.89 wurde von fritz.box nicht gefunden: Non-existent domain.

C:\Users\...>nslookup 94.188.77.183
Server: fritz.box
Address: 192.168.178.1

Name: ip183-77.ethernet.wplus.ru
Address: 94.188.77.183


C:\Users\...>nslookup 147.32.116.109
Server: fritz.box
Address: 192.168.178.1

Name: pajovann.sh.cvut.cz
Address: 147.32.116.109

 

[Tigerass 2.0]

Die aus Russland kommt mir am seltsamsten vor...
aber so kann man wenig sagen. Außer dass über den Webhoster auch mal Zeus und diverse andere sachen verbreitet wurden, was aber so ziemlich bei jedem vorkommen kann...

Aber bei mir gibts auch ne menge unknown... fast an die zwei seiten. Aber nur bei geöffnetem firefox. Danach habe ich nur noch die ips's von Facebook, Google, und CBase unter unknown stehen.(letzte besuchte seiten). Also würde ich mal den PC neusterten, und bevor du ins Internet gehst (aber eine verbindung hast), die IP's nochmal checken. Wenn dann immer noch sowas unter unknown ist, ist es komisch...


LG Tigerass

 

[DonSerious]

Beim Neustart ist kein Unknown vorhanden. Hatte cports immer mal wieder refreshed und diese Connections waren ohne Firefoxuse drin, verschwinden aber auch recht schnell wieder. Auch nur 1 mal jede gesehen.

edit: So sahs beim Neustart aus:
http://img5.imageshack.us/img5/1460/unbenanntdp.png

 

[BErnie09]

Das System gehört dir nicht mehr.
Das solltest neu aufsetzen.
PWs und Zugangang IDs von einem sauberen System aus ändern

 

[DonSerious]

? Das war nach einem Refresh und weshalb? Die Unknown-Connections sind nach 5 mins wieder weg. Das einzige, was etwas seltsam ist sind die 100 Verbindungen zum Router,

mfg

 

[AlexandeKappner]

An deiner Stelle haett ich da mal Spotify im Verdacht, meines Wissens leechen die naemlich ganz offiziell mittels Peer-to-peer an deiner Bandbreite, um selber Traffic zu sparen. Lies mal: http://www.spotify.com/us/help/faq/tech/

"Why does Spotify use so many internet connections?

Spotify uses a peer-to-peer network along with streaming servers to stream music. This is why you see multiple connections to other Spotify users. "

Prinzipiell sollte es kein Problem sein das mit einer Firewall-Regel abzustellen, aber ich weiss nicht, wie Spotify darauf reagiert bzw. ob es dann ueberhaupt noch funktioniert.

MfG
Alexander

 

[DonSerious]

Vorhin ging beim Taskmanager unter Ethernet auch "Senden" auf 800KBit/s hoch, als Spotify eine stärkere Netzwerkauslastung hatte. Könnte schon sein. Ich überprüfe auch das erste Mal, was so bei mir verbindet. jetzt gerade beim Neustart gab es lediglich Microsoftverbindungen unter den "Unknown"-Verbindungen.
Kannst du mir vllt. sagen, was diese Unknownverbindungen zwischen meinem Router und meinem PC bedeuten und weshalb diese dupliziert sind? Wenn ich Fraps oder OTL starte, erscheinen auch weitere 8 Verbindungen von 127.0.0.1 zu 127.0.0.1
Bei jedem Programmstart. Seit wann verbindet sich der localhost mit dem localhost? ^^
Naja. Ich bekam nun 2 mal den Rat neuaufzusetzen und das ohne intelligente Begründung,

mfg

 

[AlexandeKappner]

Ich seh aus deinen Beitraegen net wirklich was das genau fuer Verbindungen zum Router sind (TCP? UDP? Du meinst damit wohl andere als im ersten Beitrag?), also mal wild drauf los spekuliert: UDP Hole Punching oder aehnliche Scherze irgendeines Programms, um durch deinen Router zu kommen. Spotify? Skype? Mach mal den Spotify aus, wart 15min (NAT-Timeout abwarten) und schau dir die Verbindungen nochmal an. Oder mach ein Screenshot, eventuell sieht man was es wirklich ist.

Zwei Tipps, ganz generell, falls du die Sache intensiver erkunden willst: Wireshark (http://www.wireshark.org/) und der Process Monitor von Microsoft. Ersterer sagt dir, was die Programme tatsaechlich an Daten senden und ueber welches Protokoll, letzterer sagt dir, welche Programme das tun.

Betreffend Loopback-Connections (localhost->localhost): Das ist nix ungewoehnliches, da gibts einige Anwendungsbereiche, bei denen das Sinn macht. Viele Anwendungen (z.B. meine 3ware-RAID-Konsole), fast alle Multiplayer-Spiele (von Far Cry 1 und Stalker weiss ichs) und AFAIK sogar Windows selber machen das, wenn eine Anwendung, die grundaetzlich fuer Netzwerkbetrieb ausgelegt ist, 'zufaellig' auf dem eigenen PC arbeiten soll. Beispiel die Raidkonsole: Die soll man prinzipiell sowohl lokal als auch aus dem LAN abfragen koennen. Da hat es wenig Sinn, zwei getrennte Schnittstellen einzubauen, stattdessen wird einfach immer ueber TCP/IP abgefragt und falls der Zugriff lokal erfolgen soll, geht er eben ueber das Loopback-Interface. Warum FRAPS das machen sollte weiss ich echt net - Lizenzserver vielleicht - und das andere Ding kenn ich net.

MfG

 

[DonSerious]

Auf dem Screen sind viele Verbindungen von 192.168.0.1 zu 192.168.0.6
Sprich Router zum PC. Spotify wird aber in cports nicht als Unknown erkannt, Firefox auch nicht. Trotzdem entstehen diese Verbindungen bei Seitenaufrufen. Wenn der Browser geschlossen wird bauen sich diese Einträge ab un nur selten sun Unknowneinträge vorhanden. Was sagst du dazu? Ich mein hier wurde schon gesagt, dass mein PC gehacked sei. Nicht falsch verstehen. Der PC ist neuaufgesetzt und war noch nie gehacked. Ich will lediglich mal überprüfen, wie der Datenverkehr aussieht,
Mfg

Ergänzung (7. Dezember 2012)

Ich habe nun mit Wireshark alle Verbindungen überprüft und konnte beim Ausschalten sämtlicher Programme KEINERLEI Aktivitäten feststellen und das über längere Zeit. Nun habe ich mal nach längerer Zeit cports eingeschaltet und hatte diese IP unter Unknown drin, jedoch wurde sie zur selben zeit nicht in Wireshark geloggt:

188.186.6.160

laut Google ist das eine MailhackIP. Wie kann es überhaupt sein, dass solche Einträge vorkommen, ich meine: 0 Einträge in Wireshark sondern nur in Cports als "Time Wait". Der gesamte Traffic läuft auch wirklich nur über legitime Programme wie Steam, Spotify oder Trillian, ansonsten gibt es nur mal ganz selten Einträge und diese führen zur Telekom oder MS. Was soll ich machen? Ich hatte in Win XP auch schonmal sehr selten mal 1 oder 2 Einträge, die ähnlich ausgesehen haben, sprich russische IPs. Aber seit damals habe ich mehrmals formatiert,
mfg

 

[AlexandeKappner]

Klar, wenn ein Socket im TIME_WAIT-Status ist, dann kommt da auch mit allerhoechster Wahrscheinlichkeit nichts mehr, das Wireshark loggen koennte. Meine Theorie dazu: Du machst Spotify auf, P2P-Verbindungen werden aufgebaut, du machst Spotify zu, dein Client trennt alle offenen Verbindungen, bleibt aber (was protokollgemaess richtig ist) im TIME_WAIT-Status fuer eine gewisse Zeit. In der Zeit startest du Wireshark und cports, Wireshark loggt nichts, weil die Verbindung geschlossen ist, aber cports sieht den Socket noch und protokolliert ihn. Wenn du genau wissen willst, welches Programm dahinter steht, frag Process Monitor nach genau dem Socket (erst PM starten, dann alle 'verdaechtigen' Programme).

Hinsichtlich Verbindungen zu deinem Router: Ich glaub dass das Problem hier bei cports liegt, das eine eingehende Verbindung als vom Router ausgehend identifiziert. Vll sinds auch DNS-Requests direkt an den Router (die meisten Homerouter machen sich selber zum DNS-Server), dazu muesst ich ein Screenshot sehen.

Was du meines Erachtens machen sollst: Gar nichts. Fuer mich sieht das nicht nach einem kompromittierten System aus. Ein TIME_WAIT Socket kann nichts mehr uebertragen.

MfG
Alexander

 

[DonSerious]

Ich habe ohne Programme Wireshark laufen lassen. Alle 3h mal zwischendurch und habs gespeichert. Kannst du dir das evtl. mal anschauen? Wäre cht dankbar, da ich selten sowas wie hochschulips oder russlandzeugs als Tme_Wait drin habe. IPs überprüfen ist np für mich aber die Art und Details kann ich nicht bewerten,

Mfg

 

[DonSerious]

Jedes mal, wenn ich alle Programme schließen fragen IP-Adressen an und erhalten keine Antwort. Leider Gottes ergab es zumindest keine ersichtliche Verbindung zu Spotify. Kann es sein, dass man bei Spotify gespeichert wird und später Leute noch versuchen per p2p Lieder zu saugen? Ist es dazu zwingend notwendig, dass meine IP schonmal mit dieser Zieladresse, die später anfragt, in Kontakt war? Ich habe immer versucht vor diesem "alle Programme aus"-Test mit cports alle bisherigen Verbindungen zu speichern, jedoch taucht keine danach auf, die identisch war. Jedoch ist eines auffällig: alle IP-Adressen sind von den deutschen Telefongesellschaften und Spotify handelt ja hauptsächlich deutschlandweit. Macht das Sinn oder sollte ich mir Gedanken machen? Es ist halt so: ich beende alles und in WireShark tauchen tausend IP-Adressen auf, die nur anfragen aber jedoch keine Antwort erhalten. Auffällig hierbei ist, dass man mit allen Programmen keine solche Einträge vorfinden kann, obwohl diese IPs zuvor nicht im Log waren, sprich nach Beendigung der Programme in WireShark andere IP-Adressen anfragen als noch vor Ausschalten der Fall war,

danke und mfg
Sent from my Windows 8 device using Board Express