Re: unerklärlicher Traffic auf eth0
Hallo Ralf und Martin=20 Am Saturday 10 January 2009 15:20:01 schrieb Martin Schr=F6der:
Was sagt /sbin/ifconfig eth0
Ansonsten mal mit tcpdump nachsehen
Also ps und top zeigten nix ungew=F6hnliches auf den ersten Blick.=20 ifconfig und tcpdump mu=DF ich mal schauen.=20 Geht aber erst am Montag, da ich jetzt zuhause bin.=20 Mir ist das blo=DF aufgefallen, weil ich der letzte im B=FCro war und die C= lients=20 alle aus waren.=20 Ich verga=DF, auf dem Server l=E4uft auch ein apache. Blo=DF der macht doch= auch=20 nix, wenn ihn keiner fragt.=20 Danke f=FCr die Tips bis hierher. Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin Also ich hab mir das heute mal angesehen. Der traffic ist nicht auf eth0 sondern auf lo (localhost). Muß wohl doch mit dem Apache zusammenhängen. Der Apache (opentimetool, bugzilla ..) arbeiten mit MySQL. Wahrscheinlich kommt das also davon. Ist das normal? Gruß Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin, On Mon, 12 Jan 2009, 12:48:19 +0100, Bodo Wlaka wrote:
Moin
Also ich hab mir das heute mal angesehen. Der traffic ist nicht auf eth0 sondern auf lo (localhost). Muß wohl doch mit dem Apache zusammenhängen. Der Apache (opentimetool, bugzilla ..) arbeiten mit MySQL. Wahrscheinlich kommt das also davon.
Ist das normal?
Das kann schon so sein, aber ich frage mich, warum fuer solche Tools _so_ viel Traffic auf "lo" erzeugt wird, denn das sind ja eigentlich Tools fuer Network-Environments (und ein Netzwerk nur ueber den localhost ist ja nun nicht gerade prickelnd)... aber jenachdem, wieviel Daten da von dem Indianer in die DB geschickt werden, kommt da u.U. schon recht viel zusammen. Beobachte doch mal, was iftop -i lo -P produziert. Bei mir passiert da nicht viel.
Gruß Bodo
HTH, cheers. l8er manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Manfred Manfred Hollstein schrieb: ... aber jenachdem, wieviel
Daten da von dem Indianer in die DB geschickt werden, kommt da u.U. schon recht viel zusammen. Beobachte doch mal, was
iftop -i lo -P
produziert. Bei mir passiert da nicht viel.
Ich hab mal mit iftop geschaut, aber auch mit ethereal. Ist trotz ganz kurzem capture eine ziemlich große Datei geworden. So, wie ich das bis jetzt gesehen habe, hängt das wohl mit IPP Port 631 zusammen. Vor allem fiel mir auf, dass da häufig Pakete mit checksum incorrect angezeigt werden. Auf dem Rechner ist ein USB-Drucker von Samsung eingerichtet, auf den die user als Netzwerkdrucker zugreifen können und auf dem Server läuft so ein Tool von samsung, mit dem man den Tonerstand etc. abfragen kann. Ich tippe mal auf dieses Tool. Ich wage es nicht eine 30 MB-Datei von Ethereal anzuhängen. ;-) Gruß Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hab mal die ersten 100 Zeilen rausschreiben lassen. ;-) Kann die jemand deuten? Danke schon mal Bodo No. Time Source Destination Protocol Info 1 0.000000 127.0.0.1 127.0.0.1 HTTP POST / HTTP/1.1 Frame 1 (83 bytes on wire, 83 bytes captured) Arrival Time: Jan 12, 2009 15:39:11.283835000 Time delta from previous packet: 0.000000000 seconds Time since reference or first frame: 0.000000000 seconds Frame Number: 1 Packet Length: 83 bytes Capture Length: 83 bytes Protocols in frame: eth:ip:tcp:http Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Destination: 00:00:00_00:00:00 (00:00:00:00:00:00) Source: 00:00:00_00:00:00 (00:00:00:00:00:00) Type: IP (0x0800) Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) Total Length: 69 Identification: 0xd4ce (54478) Flags: 0x04 (Don't Fragment) Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0x67e2 [correct] Source: 127.0.0.1 (127.0.0.1) Destination: 127.0.0.1 (127.0.0.1) Transmission Control Protocol, Src Port: 33682 (33682), Dst Port: ipp (631), Seq: 0, Ack: 0, Len: 17 Source port: 33682 (33682) Destination port: ipp (631) Sequence number: 0 (relative sequence number) Next sequence number: 17 (relative sequence number) Acknowledgement number: 0 (relative ack number) Header length: 32 bytes Flags: 0x0018 (PSH, ACK) Window size: 12332 Checksum: 0xfe39 [incorrect, should be 0x97cb] Options: (12 bytes) Hypertext Transfer Protocol POST / HTTP/1.1\r\n No. Time Source Destination Protocol Info 2 0.000005 127.0.0.1 127.0.0.1 HTTP Continuation or non-HTTP traffic Frame 2 (87 bytes on wire, 87 bytes captured) Arrival Time: Jan 12, 2009 15:39:11.283840000 Time delta from previous packet: 0.000005000 seconds Time since reference or first frame: 0.000005000 seconds Frame Number: 2 Packet Length: 87 bytes Capture Length: 87 bytes Protocols in frame: eth:ip:tcp:http Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Destination: 00:00:00_00:00:00 (00:00:00:00:00:00) Source: 00:00:00_00:00:00 (00:00:00:00:00:00) Type: IP (0x0800) Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) Total Length: 73 Identification: 0xd4cf (54479) Flags: 0x04 (Don't Fragment) Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0x67dd [correct] Source: 127.0.0.1 (127.0.0.1) Destination: 127.0.0.1 (127.0.0.1) Transmission Control Protocol, Src Port: 33682 (33682), Dst Port: ipp (631), Seq: 17, Ack: 0, Len: 21 Source port: 33682 (33682) Destination port: ipp (631) Sequence number: 17 (relative sequence number) Next sequence number: 38 (relative sequence number) Acknowledgement number: 0 (relative ack number) Header length: 32 bytes Flags: 0x0018 (PSH, ACK) Window size: 12332 Checksum: 0xfe3d [incorrect, should be 0x2478] Options: (12 bytes) Hypertext Transfer Protocol Content-Length: 366\r\n No. Time Source Destination Protocol Info 3 0.000009 127.0.0.1 127.0.0.1 HTTP Continuation or non-HTTP traffic Frame 3 (97 bytes on wire, 97 bytes captured) Arrival Time: Jan 12, 2009 15:39:11.283844000 Time delta from previous packet: 0.000004000 seconds Time since reference or first frame: 0.000009000 seconds Frame Number: 3 Packet Length: 97 bytes Capture Length: 97 bytes Protocols in frame: eth:ip:tcp:http Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Destination: 00:00:00_00:00:00 (00:00:00:00:00:00) Source: 00:00:00_00:00:00 (00:00:00:00:00:00) Type: IP (0x0800) Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Bodo, On Mon, 12 Jan 2009, 17:42:47 +0100, Bodo Wlaka wrote:
Hab mal die ersten 100 Zeilen rausschreiben lassen. ;-)
Kann die jemand deuten?
mal versuchen... Hier kommt die allgemeine Beschreibung, was in Frame 1 enthalten ist:
Frame 1 (83 bytes on wire, 83 bytes captured) Arrival Time: Jan 12, 2009 15:39:11.283835000 Time delta from previous packet: 0.000000000 seconds Time since reference or first frame: 0.000000000 seconds Frame Number: 1 Packet Length: 83 bytes Capture Length: 83 bytes Protocols in frame: eth:ip:tcp:http Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Destination: 00:00:00_00:00:00 (00:00:00:00:00:00) Source: 00:00:00_00:00:00 (00:00:00:00:00:00) Type: IP (0x0800)
... welche Protokolle, Header etc. ...
Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) Total Length: 69 Identification: 0xd4ce (54478) Flags: 0x04 (Don't Fragment) Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0x67e2 [correct] Source: 127.0.0.1 (127.0.0.1) Destination: 127.0.0.1 (127.0.0.1)
hier steht der eigentlich interessante Teil; ein Programm, das den Port 33682 zum Senden nutzt, ballert den CUPS Port 631 zu, denn die "Arrival Time" aus den folgenden Frame Headers ist so eng beieinander, dass das sehr wohl der Traffic sein duerfte, den du da siehst. Was mich vor allem stoert, sind die offensichtlich kaputten Checksums (s.u.), moeglicherweise loest das dann wieder das naechste Paket aus.
Transmission Control Protocol, Src Port: 33682 (33682), Dst Port: ipp (631), Seq: 0, Ack: 0, Len: 17 Source port: 33682 (33682) Destination port: ipp (631) Sequence number: 0 (relative sequence number) Next sequence number: 17 (relative sequence number) Acknowledgement number: 0 (relative ack number) Header length: 32 bytes Flags: 0x0018 (PSH, ACK) Window size: 12332 Checksum: 0xfe39 [incorrect, should be 0x97cb] Options: (12 bytes)
Du hattest in einer anderen e-mail etwas von einem Monitoring Programm von Samsung fuer den USB Printer geschrieben. Hast du den Traffic auch, wenn das Programm nicht laeuft? In jedem Fall versuche erstmal heraus zu finden, welches Programm denn den Port 33682 offen hat: netstat -tulpen | grep 33682 Mal sehen, ob das der Monitor ist... HTH, cheers. l8er manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Manfred Manfred Hollstein schrieb:
Du hattest in einer anderen e-mail etwas von einem Monitoring Programm von Samsung fuer den USB Printer geschrieben. Hast du den Traffic auch, wenn das Programm nicht laeuft? In jedem Fall versuche erstmal heraus zu finden, welches Programm denn den Port 33682 offen hat:
netstat -tulpen | grep 33682
Ergab nichts.
Mal sehen, ob das der Monitor ist...
Hab dann aber mal den Monitor (smartpanel) auf quit gegangen uind nu ist Ruhe. Jetzt muß ich den halt nicht per Autostart, sondern nur bei Bedarf starten, damit Ruhe ist. DAAAAAnke Bodo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Bodo Wlaka
-
Bodo Wlaka
-
Manfred Hollstein