Unbekannter Datenfluss.

01/06/2008 - 18:30 von Martin Freiberg | Report spam
Hallo,

Ich habe als Anzeige xnetload auf eth0 laufen lassen. Dabei hat mir
xnetload fortwàhrend eine Datenübertragung angezeigt.

Siehe Screenshot:
http://fotoalbum.web.de/gast/lyki_/...ge?imageId˜050141

Wenn ich den Netzwerkstecker ziehe, dann geht nach 5 Sekunden die
Anzeige gegen Null. Stecke ich wieder ein, dann geht die Anzeige kurz
auf 763 B/s hoch und dann auf 24 B/s runter.

Ein netstat -apentu (unter root) bringt hier auch nichts.
Außer, wenn der Netzwerkstecker gezogen ist, dann fehlt der
Eintrag von dhclient.

Ich habe die Originalausgabe etwas zusammengezogen, damit sie möglichst
nicht umgebrochen wird.

:~# netstat -apentu
Aktive Internetverbindungen (Server und stehende Verbindungen)
Prt R-Q S-Q Local Address Foreig Add State Benu Inode
PID/Program name
tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 0 7678 2747/hpiod
tcp 0 0 0.0.0.0:46214 0.0.0.0:* LISTEN 101 12941 5266/rpc.statd
tcp 0 0 0.0.0.0:20012 0.0.0.0:* LISTEN 0 12883 5231/inetd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 7211 2486/portmap
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 0 12881 5231/inetd
tcp 0 0 127.0.0.1:46996 0.0.0.0:* LISTEN 106 7689 2750/python
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 7828 2854/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 9520 3017/exim4
udp 0 0 0.0.0.0:32768 0.0.0.0:* 104 9309 2945/avahi
-daemon:
udp 0 0 0.0.0.0:32769 0.0.0.0:* 101 12934 5266/rpc.statd
udp 0 0 0.0.0.0:778 0.0.0.0:* 0 12925 5266/rpc.statd
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 17411 6176/dhclient
udp 0 0 0.0.0.0:5353 0.0.0.0:* 104 9308 2945/avahi
-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 7208 2486/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 7831 2854/cupsd
:~#

Eigendlich wird hier ja nichts übertragen. Früher als ich nur ISDN
hatte, tauchte in xisdnload nichts dergleichen auf. Hier nun per
DSL habe ich eine Anzeige.
Was mich wundert ist, ein langsamer eingehender Datenfluss und nur
hin und wieder ein ausgehendes Paket.

Sind das irgend welche Protokolldaten die zwangsweise immer fliessen,
(Broadcast?) oder möglicher weise etwas was hier nicht hingehört.

wenn ich mit kill den dhclient Abschieße bleibt der Datenfluss
bestehen.


:~# ifconfig eth0
eth0 Protokoll:Ethernet Hardware Adresse 00:04:61:48:EF:42
inet Adresse:192.168.2.106 Bcast:192.168.2.255 Maske:255.255.255.0
inet6 Adresse: fe80::204:61ff:fe48:ef42/64
Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:21395 errors:0 dropped:0 overruns:0 frame:0
TX packets:15027 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlànge:1000
RX bytes:15121836 (14.4 MiB) TX bytes:2328315 (2.2 MiB)
Interrupt:10 Basisadresse:0xec00
:~#


Zudem, was ist dieser hpiod, der HP Druckertreiber (den ich aber
eigentlich nicht benötige)? habe noch keinen HP. Wird wohl von
Debian einfach mit installiert.

Was mich noch wundert, warum ist der rpc.statd und inetd mehrfach
vorhanden (Soweit nicht einmal für tcp und einmal udp), und wieso
arbeiten manche Programme/Daemons auf so extrem hohen Ports?

Debian 4.0 r2 - Etch Standartinstallation mit Kde.


Gruß
Martin
 

Lesen sie die antworten

#1 Christian Garbs
02/06/2008 - 00:08 | Warnen spam
Mahlzeit!

Martin Freiberg wrote:

Eigendlich wird hier ja nichts übertragen. Früher als ich nur ISDN
hatte, tauchte in xisdnload nichts dergleichen auf. Hier nun per DSL
habe ich eine Anzeige.



Du machst DSL direkt über PPPoE? Oder hast du einen Router
vorgeschaltet?
Im ersteren Fall solltest du ppp0 statt eth0 belauschen. Auf eth0
wandern dann mindestens irgendwelche Steuerdaten für das DSL durch die
Gegend.

Was mich wundert ist, ein langsamer eingehender Datenfluss und nur
hin und wieder ein ausgehendes Paket.



Wenn es eingehende Daten sind, dann kommt es vielleicht gar nicht erst
zum Verbindungsaufbau. Das kann ICMP oder irgendwelche Requests auf
geschlossene Ports sein. Ggf. stammen daher auch die vereinzelten
Rückantworten ("geh weg, hier gibt's nichts" o.à.).

Schmeiß mal wireshark an und lass dir anzeigen, was genau da an
Paketen durch die Gegend wandert.

Gruß,
Christian
Christian.Garbs.http://www.cgarbs.de
NOBODY EXPECTS THE SPANISH INQUISITION

Ähnliche fragen