Empfange Daten von Unbekannten

Pätterrich

Enthusiast
Thread Starter
Mitglied seit
23.11.2012
Beiträge
2.475
Hallo Community,

ich nutze das Internet über ein Studentenwerk und das wiederrum über die Universität. Jetzt sehe ich zum einen im Task-Manager, dass ich im Idle um die 7kByte/s an Daten empfange. Teilweise sind es auch einige hundert kByte/s. Ich würde gerne wissen, woher die kommen (im Ressourcenmonitor konnte ich nichts erkennen). Zum anderen stimmen der Windows 7 Ressourcenmonitor und der Task-Manager nicht über ein (siehe Bilder). Woran liegt das und wie kann ich das beheben?
Da es hier ein mehr oder weniger öffentliches Netzwerk ist, würde ich gerne etwas mehr Kontrolle/Überwachung haben wer hier mit wem kommuniziert. Habt ihr ein paar Vorschläge?

MfG
Pätterrich

Screenshot_1 bearbeitet.pngScreenshot_2 bearbeitet.png
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Damit sehe ich mehr, aber mir fehlt die Kentniss das (richtig) zu interpretieren. Ich habe ein paar sachen auf Wikipedia nachgelesen, aber da das recht viel ist noch viele Fragen.
Ein "gremlin.(dann die DNS-Suffixsuchliste)" fragt alle 5-10ms mittels ARP wem eine gewisse IP-Adresse gehört. Im Zusammenhang mit ARP-Spoofing und dem Namen bereitet mir das Sorgen. Innerhalb von 16s wurden 1900 frames mitgeschnitten. Von den Protokollen waren es: ARP, BJNP, Browser, DB-LSP-DISC, DNS, LLMNR, NBNS, QUIC, SSDP, UDP (nicht ganz vollständig).

Waren diese Infos relevant? Wonach sollte ich suchen (auch im Hinblick auf man-in-the-middle)?

Edit: Ich habe nicht im promiskuitiven Modus aufgenommen
 
Zuletzt bearbeitet:
Die Protokolle an sich sagen ja erstmal gar nichts aus. ARP, SSDP, NBNS kommen in größeren Netzwerken so gut wie immer vor. Gerade ARP ist hier auch nicht vermeidbar.

Die ARP Anfragen von "gremlin" können auch schlicht ne Fehlkonfiguration sein, weil etwas was versucht zu erreichen, was es garnicht gibt.

Eine Man in the Middle Attacke muss man nicht unbedingt erkennen können, da man MAC Adressen auch faken kann. Wenn sie mehr oder weniger schlecht gemacht ist, dann ist die MAC Adresse des Gateways im Zweifel einfach nur anders. Verhindern kann es letztendlich lediglich der Administrator des Netzwerkes.

Da du ja im promiscuous Mode gemessen hast, sieht dein PC eh nur Traffic, welcher in irgendeiner Weise für Ihn bestimmt ist. Das betrifft jeglichen Traffic, welcher z.B. an die Broadcast Adresse und an die IP deines PCs geht.


Ich sniffe privat gern mal in Hotel WLANs mit, um zu schauen was da so abgeht und dort sieht es meist ähnlich zu deiner Situation aus. Lösen lässt sich das Problem nur durch Änderungen an der Switch oder WLAN konfiguration. Stichwort ist hier Client Isolation oder No Local Switching.


Wenn du paranoid genug bist, hilft nur die Nutzung eines VPN Services oder Aluhut.
 
Ich sniffe privat gern mal in Hotel WLANs mit, um zu schauen was da so abgeht und dort sieht es meist ähnlich zu deiner Situation aus. Lösen lässt sich das Problem nur durch Änderungen an der Switch oder WLAN konfiguration. Stichwort ist hier Client Isolation oder No Local Switching.


Wenn du paranoid genug bist, hilft nur die Nutzung eines VPN Services oder Aluhut.

Hau mal ein paar lustige Stories aus :d
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh