Traffic von / zu 1e100.net

Smalltalk
Antworten
Benutzeravatar
Durruti
Beiträge: 207
Registriert: 16.04.2006 01:54:44

Traffic von / zu 1e100.net

Beitrag von Durruti » 02.01.2014 09:25:30

Hallo,
ich stell die Frage mal hier, ist zwar "computer-related" aber hat nix mit debian direkt zu tun.

Ich habe bei mir dnsmasq als lokalen dns-server laufen (der dann auf opendns weiterleitet) und eine relativ umfangreiche blackliste von Hand zusammengetragen, in welcher sich auch einige google-domains befinden, unter anderem die oben genannte 1e100.net, die ich auf meinen localhost zeigen lasse (127.0.0.1).

Nun hat mir google bei der letzten anfrage zurückgemeldet, daß aus meinem Netz automatisierte Abfragen kämen, weswegen ich mal so ein wenig tcpdump beobachtet habe, ob irgendwas stattfindet, was ich mit meinem Lamerauge auf Anhieb als verdächtig erkennen könnte...

Was mir jetzt hier auffällt: wenn browser und mailclient nicht laufen, scheint so weit alles o.k., aber wenn ich beispielsweise den browser (opera 11.x oder auch firefox nightly) aufmache, ohne eine Seite aufzurufen, bekomme ich traffic von 1e100.net

Code: Alles auswählen

09:11:27.273970 IP 192.168.1.8.40890 > ham02s11-in-f12.1e100.net.https: Flags [P.], seq 41:72, ack 42, win 331, options [nop,nop,TS val 2495338 ecr 2614063377], length 31
09:11:27.274018 IP 192.168.1.8.40890 > ham02s11-in-f12.1e100.net.https: Flags [F.], seq 72, ack 42, win 331, options [nop,nop,TS val 2495338 ecr 2614063377], length 0
09:11:27.274150 IP 192.168.1.8.45000 > ham02s11-in-f3.1e100.net.http: Flags [F.], seq 3794477408, ack 1576063619, win 265, options [nop,nop,TS val 2495338 ecr 2614004621], length 0
09:11:27.274270 IP 192.168.1.8.36482 > ham02s11-in-f14.1e100.net.https: Flags [P.], seq 1507:1538, ack 11003, win 1067, options [nop,nop,TS val 2495338 ecr 2614057293], length 31
09:11:27.274302 IP 192.168.1.8.36482 > ham02s11-in-f14.1e100.net.https: Flags [F.], seq 1538, ack 11003, win 1067, options [nop,nop,TS val 2495338 ecr 2614057293], length 0
09:11:27.274944 IP 192.168.1.8.47378 > ham02s11-in-f14.1e100.net.http: Flags [F.], seq 1857233929, ack 1014452636, win 331, options [nop,nop,TS val 2495339 ecr 2614001066], length 0
Wie kann das sein? Kontaktieren die browser auch ohne meine aktive Eingabe irgendeine (nicht blockierte) google-adresse z.b. ganz simpel google.com (nicht auf der dnsmasq-liste) und google versucht von einer anderen domain aus zu antworten?
So ganz kann ich die Flags auch nicht deuten, sind (von 1e100.net) immer nur [F] und [P] flags, das bedeutet, wenn ichs richtig sehe, daß keine Verbindung zustande kommt? Wie kommen die Browser denn drauf, diese speziellen Maschinen zu kontaktieren bzw. vice versa?
Einfach nur aus Interesse.


Grüße, Durruti

Benutzeravatar
stollenreiter
Beiträge: 402
Registriert: 10.08.2004 16:30:47
Wohnort: Bremen

Re: Traffic von / zu 1e100.net

Beitrag von stollenreiter » 02.01.2014 14:07:25

Gruß Stollenreiter
wat mutt, dat mutt
Mein Jakobsweg heißt Darb al-Arba'in

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Traffic von / zu 1e100.net

Beitrag von schorsch_76 » 02.01.2014 14:53:44

Firefox wird von google finanziert und bekommt als Gegenleistung die Standardsuchmaschine google in Firefox.

[1] http://www.heise.de/newsticker/meldung/ ... 55527.html
[2] http://www.telefoniert-nach-hause.de/index.php/Firefox

Benutzeravatar
Durruti
Beiträge: 207
Registriert: 16.04.2006 01:54:44

Re: Traffic von / zu 1e100.net

Beitrag von Durruti » 05.01.2014 22:15:24

Ah ok. Ich hab mich eher gewundert, weswegen von "aussen" was von 1e100 kommt, wo ich doch die Namensauflösung lokal hier auf meinen localhost geleitet habe. Aber mir scheint, ich muß mich erstmal noch ein bißchen mit tcpdump beschäftigen ;-). Aber interessante links und apropos links, Zeit mich auch mal mit elinks intensiv zu befassen, :google: adé.

Benutzeravatar
Frosch6669
Beiträge: 155
Registriert: 02.07.2003 23:16:49
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Hamburg
Kontaktdaten:

Re: Traffic von / zu 1e100.net

Beitrag von Frosch6669 » 04.05.2017 10:28:26

Hallo,

dies nur zur Info: diese 1e100.net Server sind Google.
Falls es zu unablässigen Datenaustausch zu so einer Adresse kommt hier der rootcause von mir (nach 10h Analyse)

Google Sync

Ich hatte Daten über einen link in mein Google Drive bekommen. Diese ließen sich nicht syncen, haben es aber permanent versucht, ca 10kb/s.
Unter Gnome macht das der goa-daemon unter android ist das nur pauschal als Android OS Hintergrunddaten erkennbar.

Muss ein Fehler bei Google Sync sein, dass irgendwie defekte Dateien im Drive so eine endlos Sync verursachen. BUG

Die daten waren nur gelinkt in mein Google Drive von einem anderen Drive account.

mein Tipp-> kein Google-Drive oder Sync oder wie auch immer benutzen.

Gruß
Frosch6669

BenutzerGa4gooPh

Re: Traffic von / zu 1e100.net

Beitrag von BenutzerGa4gooPh » 04.05.2017 12:31:09

Durruti hat geschrieben:So ganz kann ich die Flags auch nicht deuten, sind (von 1e100.net) immer nur [F] und [P] flags, das bedeutet, wenn ichs richtig sehe, daß keine Verbindung zustande kommt? Wie kommen die Browser denn drauf, diese speziellen Maschinen zu kontaktieren bzw. vice versa?

Könnten von SPI-Firewall geblockte Folgeverbindungen sein - wie bei mir auch: viewtopic.php?f=15&t=164069&hilit=1e100#p1120906
Mit einer entsprechenden Browsereinstellung verschwinden diese: https://www.pcmech.com/article/the-myst ... 1e100-net/
Übel, dass Mozilla nicht explizit am entsprechenden Haken darauf hinweist! Ich selbst war davon ausgegangen, Mozilla tut selber.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Traffic von / zu 1e100.net

Beitrag von schorsch_76 » 04.05.2017 12:49:07

Naja, der Thread ist von 2014 *hust* :wink:

BenutzerGa4gooPh

Re: Traffic von / zu 1e100.net

Beitrag von BenutzerGa4gooPh » 04.05.2017 13:16:11

Auf Exhumierung reingefallen. Muss sowas nicht gerichtlich angeordnet werden? :mrgreen:

Antworten