7
Datenflut (grösser 400MB) über DHCP ports 67 und 68
Liebe Forenmitglieder,
Ich beobachte nach dem Herstellen einer Netzverbindung als erstes eine UDP Verbindung mit 90kB in und 400-500MB out. Verwendet werden die Ports 67 und 68 für eie 0.0.0.0 an alle 255.255.255.255 broadcast.
Nach meiner Einschätzung müsste das Volumen für den IP-Bezug im Bereich von kB liegen und nicht MB. Der auslöesende Prozess ist svchost.exe mit den DLLs audiosrv, dhcpcore, wevtsvc und wscsvc.
Viren finde ich keine. Das System ist Win 7.
Das Verhalten stellt sich auch nach einer Neuinstallation ein, wobei ein smartphone kurz an dem Rechner angeschlossen war.
Meine Frage ist also schätzt Ihr das auch als Datenabgriff ein und könnte es zB alleine durch ein Anschliessen des smartphone ausgelöst werden?
Danke im voraus und mit den besten Grueßen
Frank Hofmann
Ich beobachte nach dem Herstellen einer Netzverbindung als erstes eine UDP Verbindung mit 90kB in und 400-500MB out. Verwendet werden die Ports 67 und 68 für eie 0.0.0.0 an alle 255.255.255.255 broadcast.
Nach meiner Einschätzung müsste das Volumen für den IP-Bezug im Bereich von kB liegen und nicht MB. Der auslöesende Prozess ist svchost.exe mit den DLLs audiosrv, dhcpcore, wevtsvc und wscsvc.
Viren finde ich keine. Das System ist Win 7.
Das Verhalten stellt sich auch nach einer Neuinstallation ein, wobei ein smartphone kurz an dem Rechner angeschlossen war.
Meine Frage ist also schätzt Ihr das auch als Datenabgriff ein und könnte es zB alleine durch ein Anschliessen des smartphone ausgelöst werden?
Danke im voraus und mit den besten Grueßen
Frank Hofmann
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369590
Url: https://administrator.de/contentid/369590
Printed on: April 19, 2024 at 03:04 o'clock
7 Comments
Latest comment
Zitat von @fx12345:
Das Verhalten stellt sich auch nach einer Neuinstallation ein, wobei ein smartphone kurz an dem Rechner angeschlossen war.
Meine Frage ist also schätzt Ihr das auch als Datenabgriff ein und könnte es zB alleine durch ein Anschliessen des smartphone ausgelöst werden?
Das Verhalten stellt sich auch nach einer Neuinstallation ein, wobei ein smartphone kurz an dem Rechner angeschlossen war.
Meine Frage ist also schätzt Ihr das auch als Datenabgriff ein und könnte es zB alleine durch ein Anschliessen des smartphone ausgelöst werden?
Moin,
Wirf wireshark an und schau, was in den Paketen drinsteht.
lks
Wireshark kann man auch nur raten. Normal ist das in keinem Fall, da hast du Recht. Das dürfen nur ein paar Pakete sein mit ein paar kB und das nur zur IP Vergabe.
Allerdings benutzt auch Bootp diese Ports und es wäre möglich das du irgendwas mit PXE ge- oder verfummelt hast auf dem Server.
Interessant wäre tatsächlich mal der Inhalt der Pakete. Da es ja nur an ein All Net Broadcast geht musst du ja keine Angst haben das das irgendwo "nach Hause telefoniert".
Allerdings benutzt auch Bootp diese Ports und es wäre möglich das du irgendwas mit PXE ge- oder verfummelt hast auf dem Server.
Interessant wäre tatsächlich mal der Inhalt der Pakete. Da es ja nur an ein All Net Broadcast geht musst du ja keine Angst haben das das irgendwo "nach Hause telefoniert".
sieht nach einem PXE Boot aus.
Auf welchem Port und Rechner das laufen soll wird im DNS/DHCP konfiguriert - ich meine der Broadcast läuft auf Port 66 und ein DNS bzw. WDS der auf Port 66 lauscht, antwortet dann über welche Ports und IP Addressen der Boot konkret laufen soll.
Auf welchem Port und Rechner das laufen soll wird im DNS/DHCP konfiguriert - ich meine der Broadcast läuft auf Port 66 und ein DNS bzw. WDS der auf Port 66 lauscht, antwortet dann über welche Ports und IP Addressen der Boot konkret laufen soll.
Danke für die Hinweise.
Es scheint wohl relativ seltsam zu sein. Also mal genauer ansehen...
Es scheint wohl relativ seltsam zu sein. Also mal genauer ansehen...
Nicht wenn du oder jemand anderes ein PXE Boot über das Netz macht 
Wenn du allerdings gar kein PXE aktiviert hast, geschweige denn weisst was das ist, dann sollte bei dir die rote Warnlampe angehen !
Wenn du allerdings gar kein PXE aktiviert hast, geschweige denn weisst was das ist, dann sollte bei dir die rote Warnlampe angehen !
Hallo,
danke für Eure Geduld. Ich bin was Netzwerkanalyse angeht eher noch ein Anfänger.
Nach der Paketanalyse wird es für mich immer mysteriöser:
Die 400-500MB sind über 1 Million DHCP discover transactions von jeweils 298 bytes bis der Rechner eine ICMPv6 router solicitation stellt, worauf eine DHCP offer vom router kommt. Es sind alle 0. zu 255. Pakete - aber durchaus unterschiedliche header.
Seltsamerweise stellt sich dieses Verhalten erst Stunden nach einer Neuinstallation bei der Installation der Win7 updates auf dem Rechner ein.
Der Rechner versucht scheinbar seinen IP oder einen PXE server vergeblich zu erreichen.
Vorher wurde der Rechner bereits neupartitioniert und installiert. Die Betriebssoftware ist auf dem Router manuell aufgespielt und der Router zurückgesetzt worden.
Da die Neuinstallation wegen einen vermuteten Angriff stattfindet, sehe ich zwei Möglichkeiten:
1) Es war ein Angreifer im Netz als server und kann nicht mehr gefunden werden. (Möglicherweise wurde das Rechner-BIOS geändert.)
2) Der relativ neue router bzw. der Rechner hat inzwischen einen Fehler.
Ich wäre für Eure Meinung dankbar.
Beste Grüße
danke für Eure Geduld. Ich bin was Netzwerkanalyse angeht eher noch ein Anfänger.
Nach der Paketanalyse wird es für mich immer mysteriöser:
Die 400-500MB sind über 1 Million DHCP discover transactions von jeweils 298 bytes bis der Rechner eine ICMPv6 router solicitation stellt, worauf eine DHCP offer vom router kommt. Es sind alle 0. zu 255. Pakete - aber durchaus unterschiedliche header.
Seltsamerweise stellt sich dieses Verhalten erst Stunden nach einer Neuinstallation bei der Installation der Win7 updates auf dem Rechner ein.
Der Rechner versucht scheinbar seinen IP oder einen PXE server vergeblich zu erreichen.
Vorher wurde der Rechner bereits neupartitioniert und installiert. Die Betriebssoftware ist auf dem Router manuell aufgespielt und der Router zurückgesetzt worden.
Da die Neuinstallation wegen einen vermuteten Angriff stattfindet, sehe ich zwei Möglichkeiten:
1) Es war ein Angreifer im Netz als server und kann nicht mehr gefunden werden. (Möglicherweise wurde das Rechner-BIOS geändert.)
2) Der relativ neue router bzw. der Rechner hat inzwischen einen Fehler.
Ich wäre für Eure Meinung dankbar.
Beste Grüße
Die 400-500MB sind über 1 Million DHCP discover transactions
Oha...das hört sich nicht wirklich gut an. Das ist jedenfalls nicht normal und eher ziemlich bedenklich. Da läuft irgendwas heftig Amok.Seltsamerweise stellt sich dieses Verhalten erst Stunden nach einer Neuinstallation bei der Installation der Win7 updates
Klingt irgendwie noch gruseliger....Die Betriebssoftware ist auf dem Router manuell aufgespielt und der Router zurückgesetzt worden
Was meinst du denn mit "Betriebssoftware" ?? Die Firmware des Routers ? Was istDer Router hat damit ja anscheinend auch nix zu tun, oder ist er der DHCP Server im Netz ?
Da die Neuinstallation wegen einen
Der Dativ ist dem Genitiv sein Tod: https://gfds.de/wegen-fall-nach/
