Eine Kollegin hat mittels Aktivitäts-Anzeige.app festgestellt, daß sie laufend Traffic hat, obwohl sie gar nichts macht, selbst wenn alle Programme geschlossen sind - siehe Screenshot. Das ist immer so, sobald sie den Mac einschaltet.

Sie hat einen Single G5, der unter Tiger läuft und ist über Fernsehkabel mit dem Internet verbunden. Außer einem Kabelmodem sind keine weiteren Geräte vorhanden. Als ich mit meinem PowerBook dort war und dieses angeschlossen hatte, hatte ich denselben "verdächtigen" Traffic (zumindest, wenn man der Aktivitäts-Anzeige glaubt). Dann habe ich versucht, mit NetBarrier den Verursacher herauszufinden, doch interessanterweise zeigte NetBarrier gar keinen Traffic an. Als nächstes habe ich mit LittleSnitch sämtliche Netzwerkverbindungen gesperrt - die Aktivitäts-Anzeige zeigte weiterhin unveränderten Traffic an. Nur nach dem Ausstecken des Ethernet-Kabels zeigte Aktivitäts-Anzeige auch nichts mehr an.

Laut Aktivitäts-Anzeige waren das nach drei Stunden ungefähr 190 MB. Interessant ist außerdem, daß das Traffic-Protkoll ihres Providers davon nichts anzeigt. Also kann man davon ausgehen, daß Aktivitäts-Anzeige etwas anzeigt, das nicht vorhanden ist? Oder was könnte das sonst sein? Einfach ignorieren?

Könnte das "Internet" Rauschen sein, Netzwerk Protokolle( sei es nur DHCP Handshake), was jedoch lustig war, ist wohl bei Kabel die identische Netzwerkmaske aller gerade vorhandenen Teilnehmer über die auch einiges geht…

Würde sagen ein "Router" könnte da helfen.

sry, wird wohl die DHCP Anfrage über Kabel sein, nicht so wichtig

Aber warum zeigt ein anderes Programm (NetBarrier) den Traffic nicht an? Und warum läuft der Traffic weiter, selbst wenn alles gesperrt ist?

Das ist System Traffic, Netbarrier ist wohl auch nicht mehr das was es einmal war.

Was du noch probieren kannst, ist den Haken bei Programmen, System vertrauen nicht zulassen.

Natürlich geht dann aber konfig über GUI von Cups u.a. nicht mehr.

Komplett den Local Host sperren wurde ja auch "extra" rausgenommen.

Das dann auch noch die Uno die verwaltung der Rootserver abgelehnt hat ist wieder ein ganz anderes Thema.

Für die "hää, verstehe ich nicht", rtfm.

Nicht gegen dich Josef

Bei 8 KB/s sind das aber sehr fette Hände, die da geschüttelt werden.
Zum Glück, war das zu Zeiten des Analogmodem nicht auch schon so...

DQ
Wieso sollten permanent DHCP Anfragen gestellt werden? Kannst du das bitte mal näher erläutern?

Kabel, ca 20 Mbit, alle Teilnehmer teilen sich die Leitung, wie geht das ?

Ja wie geht das denn?

Würde sagen letztendlich auch nur über einen Router, oder ?

Und was hat das mit DHCP Anfragen zu tun? Jeder Client hat seine IP Adresse und behält diese für die Dauer der Lease. In diesem Zeitraum wird vom Client keine DHCP Anfrage mehr gestellt.

Naja, geht ja auch kein Traffic raus, oder ?

Josef

was sagt tcpdump?

im terminal <sudo tcpdump> eingeben und einfach mal beobachten...

DQ
Sei mir bitte nicht böse, aber wenn man von dem Thema nur begrenzt Ahnung hat, sollte man so fair sein und sich entweder zurückhalten (nicht posten), oder wenigstens andeuten, daß man sich mit der Materie nicht auskennt.

Keine Ahnung, was in so TV-Kabel-Netzwerken alles rumschwirrt. Könnten Broadcasts sein. LittleSnitch bringt dir sowieso nix, das reagiert nur auf *ausgehenden* Verkehr - und du hast ja keinen. Das einfachste ist wirklich, wie drowes schon geschrieben hat, mal tcpdump (oder einen anderen Sniffer) laufen zu lassen und mitzuverfolgen, was da geht. Auf son Krempel wie Intego-Software kann man sowieso pfeifen...

Don

Wieso heißt du anstatt Don Quixote plötzlich nur noch DQ? Schrumpft irgendwann mal mein Name auf RP?

Rantannplan

Wohl eher nicht anzunehmen, natürlich gibt es Dons wie Sand am Meer, wenn man sich mal ein bisschen umschaut bei Spielen…

ahuebenett

Hab gar keine Zeit böse zu sein

DQ
Ja, ein Router würde sicher helfen, aber da dieser Traffic von ihrem Provider gar nicht gezählt wird (dort also offensichtlich gar nicht erst ankommt), besteht aus ihrer Sicht keine Notwendigkeit, etwas zu ändern. Sie wäre damit also schon zufrieden. Es ist nur meine Neugier, die keine Ruhe gibt. Wenn das mein Rechner wäre, würde ich wissen wollen, was da läuft.

drowes
tcpdump werde ich ausprobieren. Kann allerdings etwas dauern, da es ja nicht mein Rechner ist.

Rantanplan
Ja, LittleSnitch reagiert nur auf ausgehenden Verkehr, aber der eingehende Verkehr muß ja auch irgendwann einmal durch ein ausgehendes Paket bestätigt werden, oder sehe ich das falsch? Was für einen Sniffer würdest Du statt NetBarrier empfehlen (außer tcpdump)?

Mir fällt da noch Ethereal ein, kommt aber nur per Fink oder DarwinPorts. Wenn du mit tcpdump zurechtkommst, würde ich einfach den nehmen. Ist bei OS X dabei und tut was er soll.

Bestätigungspakete interessieren LittleSnitch nicht, das läuft auf einer tieferen Ebene ab.

Aha, danke für die Aufklärung. Dann werde ich sie nochmal besuchen, und schauen, was tcpdump meint.

Könnte dieses Angebot hier weitere Aufklärung bringen?
(Für mich sind diese Angaben Böhmische Dörfer, aber sicher nicht für jeden.)

Man klicke auf „network security“ (in der Mitte), dann auf „Live Demo“ (denn das Programm gibt es nicht für den Mac). @@

Pardon, „Live Demo“ wird nicht mehr so ohne weiteres angeboten, gestern schon noch.

Es müßte aber vergleichbare Online-Angebote geben – Experten vor!

Das Internet ist voll von Windows-Zombies, die versuchen, weitere Installationen zu übernehmen.

ahuebenett
Das "Wieso" ist manchmal schwer zu erklären aber geben tut es das schon. Ich hatte neulich einen Drucker, der zweimal pro Sekunde eine IP vom DHCP Server wollte obwohl er schon eine hatte. Wieso? Keine Ahnung.

jogoto

Aber das erzeugt keine 8KB/s Traffic - schon gar nicht inbound (man beachte das von Josef angehängte Bild).

ahuebenett

Das habe ich auch nicht behauptet. Zumal Josef ausdrücklich schreibt, dass keine weiteren Geräte dranhängen.
Ich bezog mich lediglich auf Deine Frage und nicht auf die Ausgangsproblematik.

Für Leute, die Angst vorm Terminal haben und nicht
sudo tcpdump -i en0
für Ethernet oder
sudo tcpdump -i en1
für Airport tippen wollen, gibt es Tools wie diese:

• Macsniffer
• Snort

jogoto

Meine Frage an DQ war auch eher rhetorischer Natur.

MacMark
Vielen Dank, das kommt mir sehr entgegen.

Ich habe zwar keine "Angst" vor dem Terminal, aber ich gebe ungern Befehle ein, von denen ich nicht weiß, was sie bewirken. tcpdump kenne ich zwar, aber generell habe ich lieber eine schöne, grafische Oberfläche. Ein alter Macianer halt.

Aktivitätsanzeige, welche Prozesse da überhaupt überprozentual aktiv sind, könnte ein Anhaltspunkt sein.

Auch mal was konstruktives postend

Alles klar, ich habe einen Screenshot angefordert.

MacMarkWenn dem so wäre, müßte das dann aber auch in der Statistik des Providers aufscheinen, oder?

Nicht wenn es vor dem Übergabepunkt des ISP geschieht, also quasi ISP interner Traffic ist,

Anhand des geringen Traffics, könnte es sich da schon im WindosZombis, bzw. Datengeile handeln, die versuchen etwas hochzuladen, ob sie dabei erfolg haben, ka.

Findest Du 190 MB in drei Stunden "gering"?

Aber es könnte wirklich "intern" sein, wenn man die anderen Kabelkunden am selben Strang als intern betrachtet. Das ist ja dann eigentlich wie ein LAN, oder?

Ach, mir ist noch was eingefallen: wenn die IPs auch in dem Kabelnetz dynamisch zugeteilt werden, dann könnten das auch Verbindungsversuche von P2P-Programmen sein, die unter dieser IP einen anderen Rechner erwartet haben.

Bzw. ich bin mir nicht sicher, wie die üblichen P2P-Programme ihren Traffic transportieren. Wenn es per UDP läuft, dann könnten das nicht nur die Verbindungsversuche sein, sondern die Daten selbst, die sie noch eine Weile an deine IP schicken, bis sie dann doch irgendwann merken, daß da nicht mehr der ursprüngliche Abnehmer lauscht.

Rantanplan
Eher nicht, denn dieses Verhalten ist schon wochenlang so, und zwar immer sofort nach dem Einschalten. Sie bekommt ja dabei immer eine andere IP. Und wenn sie den Rechner nicht ausschaltet, hört es auch nicht auf. Auch wenn es mehrere Tage dauert.

Hier der gewünschte Screenshot der Prozesse. Da ist jetzt auch Skype drauf, aber das hat damit nichts zu tun, denn ich habe bei mir Skype nicht installiert und als ich dort war, hatte ich auf meinem Rechner dasselbe Verhalten.

Das Ergebnis von tcpdump ist auch da. Soll ich es hier reinkopieren? Es ist etwas länger...

Normalerweise wird da aber nichts vom Mac angenommen, Verbindungsanfragen machen auch keine 8k/s, jedoch meine letzter verfolgter DoS ist sehr lange her…

Josef

du warst da, hast ethernet rein und gebootet ?

Also zumindest bei mir (T-DSL, diese IP hab ich seit 10 Stunden), ist auf dem äußeren Interface so gut wie Totenstille. 8 kB/s sind also zumindest kein Standard-"Grundrauschen"

DQ
Ja. Steht auch in meinem Eröffnungsbeitrag.

Ich habe daheim auch DSL und gar kein Grundrauschen. Mein Router ist so eingestellt, daß er nach Minuten Inaktivität die Verbindung trennt und das tut er auch. Es muß also recht ruhig sein.

Da war mal was das sich der Mac in der Standard Installation selbständig beim booten irgendwo anzumelden versucht und da bei den Gerätenamen sendet i lokalen Teilnetz.

So wie ich das verstehe ist man bei Kabel in einem lokalen Teilnetz.

So viel erst einmal dazu.

Was mich in der Aktivitätsanzeige wundert, ist der hohe viruelle Speicher bei Kernel, ist da auf dem Rechner nur wenig Ram drauf ?

Sie hat einen Single G5, was hatte der standardmäßig? 256 MB? Jedenfalls hat sie später noch 1 GB RAM dazu gekauft, das sollte eigentlich zusammen genug sein.

Hier das Ergebnis von tcpdump:

tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
listening on en0, link-type EN10MB (Ethernet), capture size 96 bytes
14:43:39.431811 arp who-has 84-72-230-164.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.443130 arp who-has 194-208-119-138.tele.net tell
194-208-116-001.tele.net
14:43:39.447069 arp who-has 194-208-129-080.tele.net tell
194-208-128-001.tele.net
14:43:39.463055 arp who-has 84-72-228-216.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.471289 arp who-has 194-208-084-043.tele.net tell
194-208-084-001.tele.net
14:43:39.522592 arp who-has 84-72-230-189.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.539298 arp who-has 194-208-129-222.tele.net tell
194-208-128-001.tele.net
14:43:39.656129 arp who-has 84-72-230-222.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.680321 arp who-has 84-72-230-229.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.718438 arp who-has 84-72-228-185.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.720830 arp who-has 84-72-228-159.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.722345 arp who-has 84-72-228-160.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.722915 arp who-has 84-72-228-162.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723037 arp who-has 84-72-228-163.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723160 arp who-has 84-72-228-164.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723456 arp who-has 84-72-228-165.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723579 arp who-has 84-72-228-166.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723702 arp who-has 84-72-228-167.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723825 arp who-has 84-72-228-168.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.723948 arp who-has 84-72-228-169.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.724084 arp who-has 84-72-228-170.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.724207 arp who-has 84-72-228-171.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.727050 arp who-has 84-72-228-172.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.776303 arp who-has 84-72-245-190.cmclient.cablecom.at tell
84-72-245-1.cmclient.cablecom.at
14:43:39.795790 arp who-has 84-72-230-254.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.795946 arp who-has 84-72-240-229.cmclient.cablecom.at tell
84-72-240-1.cmclient.cablecom.at
14:43:39.799618 arp who-has 84-72-243-6.cmclient.cablecom.at tell
84-72-243-1.cmclient.cablecom.at
14:43:39.800259 arp who-has 84-72-243-60.cmclient.cablecom.at tell
84-72-243-1.cmclient.cablecom.at
14:43:39.800388 arp who-has 194-208-131-029.tele.net tell
194-208-128-001.tele.net
14:43:39.800506 arp who-has 84-72-230-69.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.800628 arp who-has 194-208-131-135.tele.net tell
194-208-128-001.tele.net
14:43:39.800851 arp who-has 194-208-121-224.tele.net tell
194-208-120-001.tele.net
14:43:39.800974 arp who-has 194-208-129-068.tele.net tell
194-208-128-001.tele.net
14:43:39.801097 arp who-has 84-72-228-180.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.801220 arp who-has 194-208-121-062.tele.net tell
194-208-120-001.tele.net
14:43:39.801222 arp who-has 84-72-229-90.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:39.801343 arp who-has 10.0.5.247 tell 10.0.4.1
14:43:39.801465 arp who-has 84-72-230-92.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.802658 arp who-has 84-72-228-181.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.802798 arp who-has 194-208-128-024.tele.net tell
194-208-128-001.tele.net
14:43:39.823723 arp who-has 84-72-246-225.cmclient.cablecom.at tell
84-72-246-1.cmclient.cablecom.at
14:43:39.824182 arp who-has 10.0.5.13 tell 10.0.4.1
14:43:39.825303 arp who-has 194-208-116-149.tele.net tell
194-208-116-001.tele.net
14:43:39.825614 arp who-has 194-208-121-251.tele.net tell
194-208-120-001.tele.net
14:43:39.826004 arp who-has 84-72-228-182.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.826127 arp who-has 84-72-228-183.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.826250 arp who-has 84-72-228-184.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.826252 arp who-has 194-208-135-091.tele.net tell
194-208-132-001.tele.net
14:43:39.826580 arp who-has 84-72-230-169.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.826703 arp who-has 84-72-243-121.cmclient.cablecom.at tell
84-72-243-1.cmclient.cablecom.at
14:43:39.826826 arp who-has 194-208-129-060.tele.net tell
194-208-128-001.tele.net
14:43:39.830081 arp who-has 84-72-230-104.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.830292 arp who-has 194-208-131-152.tele.net tell
194-208-128-001.tele.net
14:43:39.830415 arp who-has 194-208-131-153.tele.net tell
194-208-128-001.tele.net
14:43:39.830842 arp who-has 84-72-245-127.cmclient.cablecom.at tell
84-72-245-1.cmclient.cablecom.at
14:43:39.833515 arp who-has 194-208-129-017.tele.net tell
194-208-128-001.tele.net
14:43:39.836940 arp who-has 84-72-229-56.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:39.837076 arp who-has 84-72-242-30.cmclient.cablecom.at tell
84-72-242-1.cmclient.cablecom.at
14:43:39.839177 arp who-has 194-208-133-016.tele.net tell
194-208-132-001.tele.net
14:43:39.839315 arp who-has 84-72-228-225.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.841663 arp who-has 194-208-087-167.tele.net tell
194-208-084-001.tele.net
14:43:39.847893 arp who-has 194-208-121-001.tele.net tell
194-208-120-001.tele.net
14:43:39.850706 arp who-has 194-208-131-154.tele.net tell
194-208-128-001.tele.net
14:43:39.851843 arp who-has 194-208-131-151.tele.net tell
194-208-128-001.tele.net
14:43:39.854131 arp who-has 194-208-087-162.tele.net tell
194-208-084-001.tele.net
14:43:39.854446 arp who-has 84-72-248-164.cmclient.cablecom.at tell
84-72-248-1.cmclient.cablecom.at
14:43:39.854733 arp who-has 194-208-130-108.tele.net tell
194-208-128-001.tele.net
14:43:39.854856 arp who-has 84-72-228-187.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.854979 arp who-has 84-72-228-188.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.855102 arp who-has 84-72-228-189.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.861248 arp who-has 194-208-152-131.tele.net tell
194-208-152-001.tele.net
14:43:39.866545 arp who-has 84-72-241-10.cmclient.cablecom.at tell
84-72-241-1.cmclient.cablecom.at
14:43:39.867188 arp who-has 194-208-132-006.tele.net tell
194-208-132-001.tele.net
14:43:39.868219 arp who-has 10.0.3.185 tell 10.0.0.1
14:43:39.870133 arp who-has 84-72-229-235.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:39.871312 arp who-has 84-72-228-191.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.871743 arp who-has 84-72-228-192.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.872286 arp who-has 84-72-228-193.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.872513 arp who-has 84-72-228-194.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.872636 arp who-has 84-72-228-195.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.875622 arp who-has 194-208-117-102.tele.net tell
194-208-116-001.tele.net
14:43:39.878077 arp who-has 10.2.114.5 tell 10.2.114.1
14:43:39.879871 arp who-has 84-72-246-181.cmclient.cablecom.at tell
84-72-246-1.cmclient.cablecom.at
14:43:39.880001 arp who-has 194-208-134-004.tele.net tell
194-208-132-001.tele.net
14:43:39.880481 arp who-has 84-72-242-203.cmclient.cablecom.at tell
84-72-242-1.cmclient.cablecom.at
14:43:39.882885 arp who-has 84-72-228-196.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.883444 arp who-has 84-72-228-197.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.883931 arp who-has 194-208-118-180.tele.net tell
194-208-116-001.tele.net
14:43:39.884418 arp who-has 194-208-121-199.tele.net tell
194-208-120-001.tele.net
14:43:39.884551 arp who-has 10.0.12.122 tell 10.0.12.1
14:43:39.885918 arp who-has 194-208-118-152.tele.net tell
194-208-116-001.tele.net
14:43:39.888037 arp who-has 84-72-228-138.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.903208 arp who-has 194-208-130-169.tele.net tell
194-208-128-001.tele.net
14:43:39.904171 arp who-has 84-72-228-198.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.904592 arp who-has 84-72-228-199.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.904715 arp who-has 84-72-228-200.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.904838 arp who-has 194-208-131-156.tele.net tell
194-208-128-001.tele.net
14:43:39.905291 arp who-has 194-208-131-157.tele.net tell
194-208-128-001.tele.net
14:43:39.910132 arp who-has 84-72-242-91.cmclient.cablecom.at tell
84-72-242-1.cmclient.cablecom.at
14:43:39.915124 arp who-has 84-72-228-201.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.915258 arp who-has 84-72-228-202.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.918009 arp who-has 194-208-134-165.tele.net tell
194-208-132-001.tele.net
14:43:39.918228 arp who-has 84-72-244-247.cmclient.cablecom.at tell
84-72-244-1.cmclient.cablecom.at
14:43:39.920317 arp who-has 194-208-119-096.tele.net tell
194-208-116-001.tele.net
14:43:39.924037 arp who-has 84-72-245-178.cmclient.cablecom.at tell
84-72-245-1.cmclient.cablecom.at
14:43:39.924249 arp who-has 84-72-240-121.cmclient.cablecom.at tell
84-72-240-1.cmclient.cablecom.at
14:43:39.924372 arp who-has 194-208-128-199.tele.net tell
194-208-128-001.tele.net
14:43:39.926958 arp who-has 194-208-086-218.tele.net tell
194-208-084-001.tele.net
14:43:39.930000 arp who-has 84-72-247-147.cmclient.cablecom.at tell
84-72-247-1.cmclient.cablecom.at
14:43:39.931392 arp who-has 84-72-247-18.cmclient.cablecom.at tell
84-72-247-1.cmclient.cablecom.at
14:43:39.932372 arp who-has 84-72-230-170.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.936271 arp who-has 10.2.120.154 tell 10.2.120.1
14:43:39.936477 arp who-has 194-208-118-121.tele.net tell
194-208-116-001.tele.net
14:43:39.936616 arp who-has 194-208-132-007.tele.net tell
194-208-132-001.tele.net
14:43:39.936973 arp who-has 84-72-228-203.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.937313 arp who-has 84-72-228-204.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.940849 arp who-has 84-72-228-205.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.945573 arp who-has 194-208-121-168.tele.net tell
194-208-120-001.tele.net
14:43:39.946069 arp who-has 10.0.9.205 tell 10.0.8.1
14:43:39.947051 arp who-has 84-72-248-161.cmclient.cablecom.at tell
84-72-248-1.cmclient.cablecom.at
14:43:39.947334 arp who-has 84-72-229-205.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:39.949946 arp who-has 84-72-228-206.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.950430 arp who-has 84-72-228-207.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.956918 arp who-has 194-208-119-111.tele.net tell
194-208-116-001.tele.net
14:43:39.959970 arp who-has 84-72-230-220.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:39.967453 arp who-has 84-72-241-213.cmclient.cablecom.at tell
84-72-241-1.cmclient.cablecom.at
14:43:39.968046 arp who-has 194-208-131-090.tele.net tell
194-208-128-001.tele.net
14:43:39.969528 arp who-has 84-72-228-208.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.969707 arp who-has 84-72-228-209.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.973562 arp who-has 84-72-228-210.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.977470 arp who-has 10.0.3.226 tell 10.0.0.1
14:43:39.982442 arp who-has 84-72-228-211.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.982993 arp who-has 84-72-228-212.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.983122 arp who-has 194-208-132-009.tele.net tell
194-208-132-001.tele.net
14:43:39.984616 arp who-has 84-72-241-237.cmclient.cablecom.at tell
84-72-241-1.cmclient.cablecom.at
14:43:39.987995 arp who-has 84-72-240-223.cmclient.cablecom.at tell
84-72-240-1.cmclient.cablecom.at
14:43:39.988481 arp who-has 194-208-131-139.tele.net tell
194-208-128-001.tele.net
14:43:39.997340 arp who-has 84-72-228-213.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.997951 arp who-has 84-72-228-214.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.998088 arp who-has 84-72-228-215.dclient.hispeed.ch tell
84-72-228-1.dclient.hispeed.ch
14:43:39.998823 arp who-has 194-208-132-247.tele.net tell
194-208-132-001.tele.net
14:43:40.000045 arp who-has 84-72-243-127.cmclient.cablecom.at tell
84-72-243-1.cmclient.cablecom.at
14:43:40.000843 arp who-has 194-208-132-060.tele.net tell
194-208-132-001.tele.net
14:43:40.003227 arp who-has 84-72-229-228.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:40.004186 arp who-has 194-208-131-158.tele.net tell
194-208-128-001.tele.net
14:43:40.008586 arp who-has 84-72-229-48.dclient.hispeed.ch tell
84-72-229-1.dclient.hispeed.ch
14:43:40.009196 arp who-has 84-72-242-204.cmclient.cablecom.at tell
84-72-242-1.cmclient.cablecom.at
14:43:40.010684 arp who-has 84-72-240-7.cmclient.cablecom.at tell
84-72-240-1.cmclient.cablecom.at
14:43:40.012351 arp who-has 194-208-131-159.tele.net tell
194-208-128-001.tele.net
14:43:40.014635 arp who-has 84-72-230-186.dclient.hispeed.ch tell
84-72-230-1.dclient.hispeed.ch
14:43:40.016411 arp who-has 10.0.10.226 tell 10.0.8.1
14:43:40.016962 arp who-has 84-72-242-241.cmclient.cablecom.at tell
84-72-242-1.cmclient.cablecom.at

Es geht noch eine Weile so weiter... Was sagt uns das?

ops, jetzt habe ich auch 1,9 GB Kernel bei 2GB Ram, ich geh dann mal und komm später wieder.

Josef
Am Kabelanschluß (Internet über TV etc.) hängt jeweils jeder aus dem gleichen Haus.

Ich weiß nicht, ob Kabelinternet ein LAN ist.

Im LAN werden Pakete mit Adressen, die nicht für diese Netzwerkkarte bestimmt sind, von der Karte ignoriert (außer im promiscous mode, der nicht default ist), sollten also nicht in der Statistik auftauchen.

Zum TCP-Dump. Der ist folgendermaßen zu interpretieren:

Beispiel
14:43:40.016411 arp who-has 10.0.10.226 tell 10.0.8.1

arp ist Adreßauflösung "address resolution protocoll". Da versucht jemand mit dem Rechner, der die Adresse hat, Kontakt aufzunehmen. Konkret hier im Beispiel: Rechner mit IP 10.0.8.1 (sieht nach LAN-Adresse aus) fragt im LAN alle, wer hier die IP 10.0.10.226 hat.

Das arp wird im LAN verwendet, um zu einer IP die konkret zugeordnete Netzwerkkarte herauszufinden. Es wird ein Broadcoast (an alle) geschickt und die gewünscht Karte antwortet mit "hier ich".

Die andere Einträge im tcpdump sind analog zu interpretieren.