Hoe onbekend netwerkverkeer te analyseren? - Netwerken

zondag 22 augustus 2004 11:46

Acties:

Verwijderd

Topicstarter

Ik heb heel internet afgestruind naar het antwoord op mijn vraag. Ik ben er niet uit gekomen. Ik kom vooral veel vragen over netwerkconfigs tegen. Mijn vraag gaat om het volgende. Ik heb Windows XP geinstalleerd. Vervolgens geupgrade met SP1, mijn Offices XP SP1. Daarnaast direct Norton Antivirus 2004 en alles geupdate en gescand.

Ook heb ik Adaware SE het hele systeem laten zoeken op malware/adware, maar ook Bazooke anti spy. Deze hebben niks gevonden.

Verder heb ik een wireless verbinding die ik met de windows xp firewall afgeschermd had.

Mijn vraag is nu. Ik laat dit nieuw geinstalleerde systeem 1 nacht aanstaan met de internet verbinding aan en ik zie tot mijn stomme verbazing het aantal verzonden pakketten bedraagt

1.191.666 Verzonden / Ontvangen 100.000

Ik heb geen filesharing aangehad vannacht. Gedurende de dag wel maar toen was de verhouding redelijk 50% 50%-->50.000 verzond/ 50.000 ontvang.

Ik maak me nu dus ernistige zorgen. Betekent dit dat iemand een connectie heeft gemaakt met mijn systeem en dat derhalve het aantal verzonden pakketten op 1 miljoen en meer staat TEGENOVER een zo laag ontvangen aantal?

Wat is de betekenis van deze scheve verhouding?

zondag 22 augustus 2004 11:55

Acties:

sanfranjake

Computers can do that?

Er zal ergens iets uitgestuurd zijn ... Probeer eens met een packetsniffer het verkeer te monitoren

Dan kan je zien watvoor verkeer er uit gaat.
Diversen te vinden via [google=packet sniffer download]

Geen Kazaa of iets anders in de background draaiend gehad?

De wireless verbinding, is die naar een router of naar een andere pc ? Als iemand vanaf een andere pc iets bij jou ophaalt levert dat ook sent packets.

Er is geen vaste stelregel voor de verhouding. Dit is geheel afhankelijk van je netwerkgebruik. Misschien een web/ftp/vpn server? Probeer eers die sniffer eens en kijk watvoor verkeer het is.

[ Voor 59% gewijzigd door sanfranjake op 22-08-2004 11:59 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 22 augustus 2004 12:02

Acties:

Verwijderd

Topicstarter

Ik ga de Ethereal sniffer even uitproberen. De wireless is direct naar de router, hoewel mijn broertje ook op de router komt. Ik heb nog niet ingesteld dat hij via de wireless/router ook op mijn comp kan komen.

zondag 22 augustus 2004 12:06

Acties:

sanfranjake

Computers can do that?

Verwijderd schreef op 22 augustus 2004 @ 12:02:
Ik ga de Ethereal sniffer even uitproberen. De wireless is direct naar de router, hoewel mijn broertje ook op de router komt. Ik heb nog niet ingesteld dat hij via de wireless/router ook op mijn comp kan komen.

Als je adressen in het zelfde subnet hebt, hoeft hij verder geen toegang te krijgen. Als jouw guest account open staat zonder password, danwel als hij een ander password weet voor je pc , kan je broertje gewoon dingen van je pc af kopiëren

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 22 augustus 2004 12:10

Acties:

NuKeFaCe

Het zou ook nog kunne dat er een hoop ICMP verkeer is geweest ... (b.v. dat iemand een pingflood aanval op jou bakkie heeft gedaan)

zondag 22 augustus 2004 12:11

Acties:

Verwijderd

Topicstarter

NuKeFaCe schreef op 22 augustus 2004 @ 12:10:
Het zou ook nog kunne dat er een hoop ICMP verkeer is geweest ... (b.v. dat iemand een pingflood aanval op jou bakkie heeft gedaan)

dan is het aantal verzonden pakketten van mijn kant toch niet groot?

zondag 22 augustus 2004 12:25

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op 22 augustus 2004 @ 11:46:...het aantal verzonden pakketten bedraagt

1.191.666 Verzonden / Ontvangen 100.000

Ik heb geen filesharing aangehad vannacht. Gedurende de dag wel maar toen was de verhouding redelijk 50% 50%-->50.000 verzond/ 50.000 ontvang.

Ik maak me nu dus ernistige zorgen. Betekent dit dat iemand een connectie heeft gemaakt met mijn systeem en dat derhalve het aantal verzonden pakketten op 1 miljoen en meer staat TEGENOVER een zo laag ontvangen aantal?

Wat is de betekenis van deze scheve verhouding?

't Betekent dat jouw machine van alles uitstuurt, zonder dat daar antwoord op komt. Normaal gesproken krijg je op ieder unicast pakketje wat je uitstuurt, een ACK pakketje terug.

Eerst moet je checken of je NetBIOS wel uitgezet hebt op de NIC die aan internet hangt; dat scheelt al gauw 50% aan overbodige broadcasts.

[ Voor 3% gewijzigd door Brahiewahiewa op 22-08-2004 12:27 ]

QnJhaGlld2FoaWV3YQ==

zondag 22 augustus 2004 13:22

Acties:

Verwijderd

Topicstarter

Brahiewahiewa schreef op 22 augustus 2004 @ 12:25:
[...]

't Betekent dat jouw machine van alles uitstuurt, zonder dat daar antwoord op komt. Normaal gesproken krijg je op ieder unicast pakketje wat je uitstuurt, een ACK pakketje terug.

Eerst moet je checken of je NetBIOS wel uitgezet hebt op de NIC die aan internet hangt; dat scheelt al gauw 50% aan overbodige broadcasts.

Is er niet iets als een tool die mij de history van die pakketten kan weergeven? dan weet ik direct wat het is?

zondag 22 augustus 2004 13:27

Acties:

Spider.007

* Tetragrammaton

Als je graag wilt weten wat er gebeurt op je netwerk zijn daar voldoende tools voor te vinden volgens mij (zoek maar eens op network monitoring). Je zou kunnen beginnen met een packetsniffer zoals ethereal om eens te kijken wat er zoal langskomt op je NIC. Maar dit heeft allemaal niets met WOS te maken; dus tik ik deze door naar NT

Verzonden en ontvangen pakketten. Verhouding? > Hoe onbekend netwerkverkeer te analyseren?
WOS > NT

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate