Netzwerktraffic verstehen

OrangeJuice · Beitrag von **OrangeJuice** » 13.04.2024 08:34:05

Ich habe gestern mit "ss -nE" bemerkt, dass ein Flut aus anfragen passiert, die Liste ist gekürzt und ginge endlos weiter.

Was hat es damit auf sich?

Ich habe nun in der Fritzbox die Filterliste auf "Alles außer surfen und mailen" gestellt, danach war dann ruhe. Kann aber auch Zufall sein.

Code: Alles auswählen

ss -nE
Netid           State            Recv-Q           Send-Q                     Local Address:Port                     Peer Address:Port          Process          
udp             UNCONN           0                -1                               0.0.0.0:*                             0.0.0.0:*                              
udp             UNCONN           0                -1                               0.0.0.0:*                             0.0.0.0:*                              
udp            ESTAB           0               -1                         192.168.188.30:33478                     192.168.188.1:53                             
udp            ESTAB           0               -1                         192.168.188.30:49519                     192.168.188.1:53                             
udp          ESTAB         0             -1                    [::ffff:192.168.188.30]:48322                 [::ffff:146.75.118.132]:443                        
tcp        UNCONN      0           0                  [2a01:....]:45638                 [2a04:4e42:8d::644]:443                    
udp        ESTAB       0           -1                                           192.168.188.30:51164                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:42780                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:35052                      146.75.118.132:443                    
udp        ESTAB       0           -1                 [2a01:....]:45236                 [2a04:4e42:8d::644]:443                    
tcp        UNCONN      0           0                  [2a01:....]:45652                 [2a04:4e42:8d::644]:443                    
udp        ESTAB       0           -1                                           192.168.188.30:55589                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:39217                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:49526                      146.75.118.132:443                    
udp        ESTAB       0           -1                 [2a01:....]:43765                 [2a04:4e42:8d::644]:443                    
tcp        UNCONN      0           0                  [2a01:....]:45664                 [2a04:4e42:8d::644]:443                    
udp        ESTAB       0           -1                                           192.168.188.30:41597                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:37994                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:37561                      146.75.118.132:443                    
udp        ESTAB       0           -1                 [2a01:....]:35179                 [2a04:4e42:8d::644]:443                    
tcp        UNCONN      0           0                  [2a01:....]:45678                 [2a04:4e42:8d::644]:443                    
udp        ESTAB       0           -1                                           192.168.188.30:49334                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:51250                       192.168.188.1:53                     
udp        ESTAB       0           -1                                           192.168.188.30:43444                      146.75.118.132:443

*edit*

Gerade kam ein Kernel Update die Liste der CVE ist erstaunlich lang.
https://lists.debian.org/debian-securit ... 00066.html

Jetzt geht noch folgendes raus, obwohl automatische updates abgestellt sind.

Code: Alles auswählen

ss -nE
Netid           State            Recv-Q           Send-Q                     Local Address:Port                     Peer Address:Port          Process          
udp             UNCONN           0                -1                               0.0.0.0:*                             0.0.0.0:*                              
udp             UNCONN           0                -1                               0.0.0.0:*                             0.0.0.0:*                              
udp            ESTAB           0               -1                         192.168.188.30:33391                     192.168.188.1:53                             
udp            ESTAB           0               -1                         192.168.188.30:38334                       128.31.0.62:*                              
udp       ESTAB       0           -1             			  [2a02:...:bfe6]:55566           [2603:400a:ffff:bb8::801f:3e]:*                    
tcp       UNCONN      25          63               			[2a02:...:bfe6]:37298                [2001:67c:2564:a119::77]:443                  
udp       ESTAB       0           -1                                 192.168.188.30%enp114s0:68                              192.168.188.1:67                   
udp       UNCONN      0           -1                   		  [fe80::...:c652]%enp114s0:546                                         *:*                    
udp       UNCONN      0           -1                                                 0.0.0.0:*                                     0.0.0.0:*

Beitrag von **TRex** » 13.04.2024 10:44:18

Das klingt alles ein bisschen panisch und überzogen. DoS ist was anderes, und den CVEs würde ich in dem Kontext auch noch keine Bedeutung zuordnen. Wenn du wissen willst, was in deinem System abgeht, dann nimm doch mal noch -p (erfordert root für alle Prozesse, die nicht dir gehören) zu ss dazu, damit du die zugehörigen Prozesse siehst.

Edit: und schlag die Portnummern (am Ziel) nach.

OrangeJuice · Beitrag von **OrangeJuice** » 13.04.2024 11:09:51

Ich habe den Titel angepasst. Nunja, jetzt ist ja wieder alles ruhig.
Ich habe nur nicht schlecht gestaunt, als gestern ss -nE ohne Ende lief, obwol nichts rausging.

Beitrag von **TRex** » 13.04.2024 11:15:23

Ein möglicherweise besserer Titel wäre "Netzwerktraffic verstehen".

OrangeJuice · Beitrag von **OrangeJuice** » 13.04.2024 11:31:52

TRex hat geschrieben:
13.04.2024 11:15:23
Ein möglicherweise besserer Titel wäre "Netzwerktraffic verstehen".

Dann habe ich direkt noch eine Frage zu der folgenden Ausgabe der Fritzbox.

Code: Alles auswählen

IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:....00::/56
13.04.24
05:28:12
Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:....:fecd:acb5
13.04.24
05:27:38
Internetverbindung IPv6 konnte nicht hergestellt werden: Keine Antwort vom DHCPv6-Server (SOL)
13.04.24
05:27:20
Internetverbindung IPv6: DHCPv6-Fehler mit Fehlergrund 8 (NoAddrsAvail)

Das scheint schon seit längerem zu passieren. Kann das etwas damit zu tun gehabt habe?

Beitrag von **TRex** » 13.04.2024 11:45:39

Nein, das liegt an deinem ISP und betrifft das LAN nicht (jenseits von "kein Internet").

debianforum.de

Netzwerktraffic verstehen

Netzwerktraffic verstehen

Re: Was ist da los, DoS von innen heraus?

Re: Was ist da los?

Re: Was ist da los?

Re: Was ist da los?

Re: Netzwerktraffic verstehen