FritzBox/ Wireshark: Wer lastet mein Internet aus?

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

03.10.2016 - 14:22

Hi!

In den letzten Wochen fällt mir vermehrt auf, dass zwischenzeitlich meine Internetleitung 'dicht' ist.
Wenn ich mich dann auf die FritzBox einlogge, sehe ich unter 'Internet', dass meine 12mbit voll ausgereizt sind.
Das ganze ohne für mich ersichtlichen Grund. Es laufen keine Downloads, Steam und dergleichen laufen auch nicht. WinUpdates sind auch eher auszuschließen.

Jetzt hab ich mal mit 'Capture-Funktion' der Fritzbox benutzt, und das Logfile mit Wireshark geöffnet => Bahnhof.

Als Source erscheint dort immer meine externe IP. Destination ist natürlich auch extern.
Wie kann ich raus finden, welches die 'großen' Pakete sind, bzw. von welcher internen IP der ganze Traffic verursacht wird?

TIA

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12608

03.10.2016 - 14:25

hast du ein WLAN rennen oder meinst du nur LAN?

falls WLAN kannst du eben eh glaub ich mit wireshark und einem laptop mal dein eigenes WLAN sniffen und schauen ob du ausser deinen bekannten IP/macadressen noch was aktiv ist.

p1perAT

-

Registered: Sep 2009
Location: AT
Posts: 2945

03.10.2016 - 14:34

Ich kenn die Fritzbox nicht aber normalerweise kannst du im Router nachsehen, welche geräte aktuell verbunden sind/eine IP "von dir" bekommen haben. Wenn deine Leitung mal wieder dicht ist nachsehen wer aller verbunden ist. imho am einfachsten.

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12608

03.10.2016 - 14:42

ja stimmt, ich war schon einen schritt weiter, in den router settings solltest du eine DHCP table finden mit den geleasten IP adressen.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

03.10.2016 - 14:45

wlan und lan. keine ahnung woher der traffic kommt.

und: es sind zu viele geräte. 2 tv's, 4 handys, 2 sat-receiver, 8 computer, 1 AVR, 1 netzwerkdrucker, 1 bankomatkasse, 1 bondrucker, ...

geräte die ich direkt ansprechen will/muss, haben ne fixe ip.
alle anderen via dhcp.
wlan läuft mit eigenem ip kreis als gast-netzwerk.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6500

03.10.2016 - 14:47

Hast du ein VPN eingerichtet? Wenn ja, könnte es ein externes Gerät sein, dass sich per VPN einwählt und so deine Leitung auslastet.

Hast du WLAN? Wenn ja, schau auf deinem Access Point nach, ob unbekannte Geräte verbunden sind und ändere ggf. dein WLAN-Passwort, bzw. aktiviere zusätzlich einen MAC-Filter.

Hast du andere Geräte im LAN die Zugang ins Internet haben? IP-Cam, cable oder SAT PVR, BluRay Player, etc... Solche Geräte werden in letzter Zeit gerne für DDoS-Attacken missbraucht.

Kannst ja kurzfristig eines nach dem anderen abstecken und am Router schauen, welches den Traffic verursacht.

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4289

03.10.2016 - 14:47

kann es sein, dass du dir was eingefangen hast und dein PC für DDOS mißbraucht wird?

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

03.10.2016 - 15:05

@mr.N: kein vpn
wie geschrieben, wlan ja; via fritzbox. kein AP
unbekannte geräte lassen sich mittlerweile schwer rausfiltern, weil die ip's via dhcp laufen, und ich die mac-adressen nicht von allen geräten haben.

sat, avr, cam, etc. hängen auch im lan.

@kleinerchemiker: auszuschließen ist nichts. wobei die pc's alle halbwegs normal scheinen.
die pc's mit kaspersky schließe ich mal aus. auf den anderen läuft avira bzw. MSE. eventuell liegts am win10 htpc. da hab ich aber vor ein paar tagen auch mittels OOSU das ganze 'nach haus telefonieren' abgeschaltet.

wegen ddos missbrauch: upstream hab ich ja nur 1mbit. das gibt nicht viel her. aber der downstream ist mit 12 mbit ausgelastet. also 'saugt' irgendwer/irgendwas.

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12608

03.10.2016 - 15:07

wieviele win10 geräte hast du? nur den htpc?
evtl saugen einige geräte halt updates wenn sie laufen um hintergrund, 12mbit sind imho schnell mal ausgelastet.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

03.10.2016 - 15:22

2x win10. der htpc und der zukünftige kassen-pc. letzterer ist aber immer im standby, da ich zur zeit nicht viel damit mache. der htpc läuft auch nur abends. sollte also tagsüber nicht der verursacher sein.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11279

09.10.2016 - 17:40

Wenn deine FB nicht den Traffic pro Host bestimme kann => alle Clients abklemmen und einzeln durchprobieren.

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

09.10.2016 - 18:41

Das schreit nach einem Router hinter der Fritzbox, oder einer anderen Fritzbox... Dachte dass eigentlich jedes brauchbarere Gerät eine Funktion hat, mit der sich im Zweifelsfall der Traffic aufzeichnen lässt.

Btw. warum vergibst keine festen IPs via DHCP? Habs selbst so eingestellt, dass sich die Rechner zwar allesamt via DHCP eine IP holen, aber durch die MAC jedes Gerät immer die gleiche IP erhält. Musst halt schauen welches Gerät welche MAC hat, was aber kein Hindernis sein sollte.....

In der Zeit, die zwischen deinem ersten und deinem letzten Post hier vergangen ist, hättest die 20 MACs + zugehörigen Geräte schon alle auf einen Zettel schreiben können

Bearbeitet von NeM am 09.10.2016, 18:44

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11279

09.10.2016 - 19:38

man kann dazu natürlich auch bandwidthd o.ä. laufen lassen, die Fritzbox hat ja SNMP Support.

https://sourceforge.net/projects/bandwidthd/

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

10.10.2016 - 07:46

bevor ich mich da lang reinlese: ist das ein auswertungstool, oder muss ich das irgendwie auf die fritzbox installieren?

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11279

10.10.2016 - 12:28

http://bandwidthd.sourceforge.net/demo/

du brauchst dafür eine eigene (Linux)Maschine.

Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	03.10.2016 - 14:22 Hi! In den letzten Wochen fällt mir vermehrt auf, dass zwischenzeitlich meine Internetleitung 'dicht' ist. Wenn ich mich dann auf die FritzBox einlogge, sehe ich unter 'Internet', dass meine 12mbit voll ausgereizt sind. Das ganze ohne für mich ersichtlichen Grund. Es laufen keine Downloads, Steam und dergleichen laufen auch nicht. WinUpdates sind auch eher auszuschließen. Jetzt hab ich mal mit 'Capture-Funktion' der Fritzbox benutzt, und das Logfile mit Wireshark geöffnet => Bahnhof. Als Source erscheint dort immer meine externe IP. Destination ist natürlich auch extern. Wie kann ich raus finden, welches die 'großen' Pakete sind, bzw. von welcher internen IP der ganze Traffic verursacht wird? TIA
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12608	03.10.2016 - 14:25 hast du ein WLAN rennen oder meinst du nur LAN? falls WLAN kannst du eben eh glaub ich mit wireshark und einem laptop mal dein eigenes WLAN sniffen und schauen ob du ausser deinen bekannten IP/macadressen noch was aktiv ist.
p1perAT - Registered: Sep 2009 Location: AT Posts: 2945	03.10.2016 - 14:34 Ich kenn die Fritzbox nicht aber normalerweise kannst du im Router nachsehen, welche geräte aktuell verbunden sind/eine IP "von dir" bekommen haben. Wenn deine Leitung mal wieder dicht ist nachsehen wer aller verbunden ist. imho am einfachsten.
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12608	03.10.2016 - 14:42 ja stimmt, ich war schon einen schritt weiter, in den router settings solltest du eine DHCP table finden mit den geleasten IP adressen.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	03.10.2016 - 14:45 wlan und lan. keine ahnung woher der traffic kommt. und: es sind zu viele geräte. 2 tv's, 4 handys, 2 sat-receiver, 8 computer, 1 AVR, 1 netzwerkdrucker, 1 bankomatkasse, 1 bondrucker, ... geräte die ich direkt ansprechen will/muss, haben ne fixe ip. alle anderen via dhcp. wlan läuft mit eigenem ip kreis als gast-netzwerk.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6500	03.10.2016 - 14:47 Hast du ein VPN eingerichtet? Wenn ja, könnte es ein externes Gerät sein, dass sich per VPN einwählt und so deine Leitung auslastet. Hast du WLAN? Wenn ja, schau auf deinem Access Point nach, ob unbekannte Geräte verbunden sind und ändere ggf. dein WLAN-Passwort, bzw. aktiviere zusätzlich einen MAC-Filter. Hast du andere Geräte im LAN die Zugang ins Internet haben? IP-Cam, cable oder SAT PVR, BluRay Player, etc... Solche Geräte werden in letzter Zeit gerne für DDoS-Attacken missbraucht. Kannst ja kurzfristig eines nach dem anderen abstecken und am Router schauen, welches den Traffic verursacht.
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4289	03.10.2016 - 14:47 kann es sein, dass du dir was eingefangen hast und dein PC für DDOS mißbraucht wird?
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	03.10.2016 - 15:05 @mr.N: kein vpn wie geschrieben, wlan ja; via fritzbox. kein AP unbekannte geräte lassen sich mittlerweile schwer rausfiltern, weil die ip's via dhcp laufen, und ich die mac-adressen nicht von allen geräten haben. sat, avr, cam, etc. hängen auch im lan. @kleinerchemiker: auszuschließen ist nichts. wobei die pc's alle halbwegs normal scheinen. die pc's mit kaspersky schließe ich mal aus. auf den anderen läuft avira bzw. MSE. eventuell liegts am win10 htpc. da hab ich aber vor ein paar tagen auch mittels OOSU das ganze 'nach haus telefonieren' abgeschaltet. wegen ddos missbrauch: upstream hab ich ja nur 1mbit. das gibt nicht viel her. aber der downstream ist mit 12 mbit ausgelastet. also 'saugt' irgendwer/irgendwas.
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12608	03.10.2016 - 15:07 wieviele win10 geräte hast du? nur den htpc? evtl saugen einige geräte halt updates wenn sie laufen um hintergrund, 12mbit sind imho schnell mal ausgelastet.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	03.10.2016 - 15:22 2x win10. der htpc und der zukünftige kassen-pc. letzterer ist aber immer im standby, da ich zur zeit nicht viel damit mache. der htpc läuft auch nur abends. sollte also tagsüber nicht der verursacher sein.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11279	09.10.2016 - 17:40 Wenn deine FB nicht den Traffic pro Host bestimme kann => alle Clients abklemmen und einzeln durchprobieren.
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	09.10.2016 - 18:41 Das schreit nach einem Router hinter der Fritzbox, oder einer anderen Fritzbox... Dachte dass eigentlich jedes brauchbarere Gerät eine Funktion hat, mit der sich im Zweifelsfall der Traffic aufzeichnen lässt. Btw. warum vergibst keine festen IPs via DHCP? Habs selbst so eingestellt, dass sich die Rechner zwar allesamt via DHCP eine IP holen, aber durch die MAC jedes Gerät immer die gleiche IP erhält. Musst halt schauen welches Gerät welche MAC hat, was aber kein Hindernis sein sollte..... In der Zeit, die zwischen deinem ersten und deinem letzten Post hier vergangen ist, hättest die 20 MACs + zugehörigen Geräte schon alle auf einen Zettel schreiben können Bearbeitet von NeM am 09.10.2016, 18:44
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11279	09.10.2016 - 19:38 man kann dazu natürlich auch bandwidthd o.ä. laufen lassen, die Fritzbox hat ja SNMP Support. https://sourceforge.net/projects/bandwidthd/
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	10.10.2016 - 07:46 bevor ich mich da lang reinlese: ist das ein auswertungstool, oder muss ich das irgendwie auf die fritzbox installieren?
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11279	10.10.2016 - 12:28 http://bandwidthd.sourceforge.net/demo/ du brauchst dafür eine eigene (Linux)Maschine.

FritzBox/ Wireshark: Wer lastet mein Internet aus?

Forum Index > Hardware > Peripherie > Netzwerktechnik

Bogus

rad1oactive

p1perAT

rad1oactive

Bogus

mr.nice.

kleinerChemiker

Bogus

rad1oactive

Bogus

spunz

NeM

spunz

Bogus

spunz