Zum Inhalt wechseln


Foto

Windows - Verursacher für viel Traffic finden

Windows 8.1

  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1 RolfW

RolfW

    Expert Member

  • 1.127 Beiträge

 

Geschrieben 18. April 2017 - 08:49

Hallo zusammen,

 

wir haben durch Zufall herausgefunden, dass ein PC relativ viele Daten mit einer öffentliche IP austauscht. Mittlerweile haben wir sogar herausgefunden, dass es wohl ein Cookie sein könnte, welches beim Browser (Chrome, IE, usw.) aufgerufen wird.

Nun die Frage an Euch, wie kann man nun genau das Cookie heraus finden? Steht im Cookie selbst evtl. die Public IP?

 

Bisher haben wir TCPView und den ProccessMonitor genutzt.

 

Vielen Dank.

Grüße

Rolf


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#2 zahni

zahni

    Expert Member

  • 16.078 Beiträge

 

Geschrieben 18. April 2017 - 08:52

Hallo Rolf,

 

ein  Cookie  tauscht  keine Daten aus. Ein Cookie wird  beim einem HTTP(S)-Request im Header  mitgeschickt.

Und der Request muss von "jemand" ausgelöst werden.


Bearbeitet von zahni, 18. April 2017 - 08:54.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 RolfW

RolfW

    Expert Member

  • 1.127 Beiträge

 

Geschrieben 18. April 2017 - 08:54

Hmm, Kollege meinte, er hätte Cookies gelöscht, danach hat das "funken" aufgehört... Wo könnte sowas sonst "hinterlegt" sein?

Danke.


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#4 zahni

zahni

    Expert Member

  • 16.078 Beiträge

 

Geschrieben 18. April 2017 - 11:00

Es kann natürlich Tracking-Geschichten geben, die sich, je nach gesetzten Cookie, unterschiedlich  verhalten. Das ist dann aber im Code der jeweiligen Website bzw. deren Werbemüll verankert.

Natürlich musst Du den PC noch auch nette "Zusatzanwendungen oder Browser-Plugins" untersuchen.

Ich finde auch den HTTP-Debugger http://www.telerik.com/fiddler  immer wieder nützlich.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 Otaku19

Otaku19

    Expert Member

  • 1.939 Beiträge

 

Geschrieben 23. April 2017 - 20:32

also ich verwende dafür immer:

Microsoft network monitor: da sieht man die verbindungen direkt zu den Prozessen

http://centralops.net/co/ check hier die IP, da sollte sich schon rausfinden lassen was das ist


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX


#6 RolfW

RolfW

    Expert Member

  • 1.127 Beiträge

 

Geschrieben 25. April 2017 - 08:49

Ich schau noch mal, evtl. habe ich etwas übersehen. Die Range gehört zur Telefonica...

 

inetnum:        92.224.0.0 - 92.227.255.255
netname:        HANSENET-ADSL
descr:          Telefonica Germany GmbH & Co. OHG
descr:          ADSL Pool Customers
country:        DE
admin-c:        HNT-RIPE
tech-c:         HANO-RIPE
status:         ASSIGNED PA
mnt-by:         HANSENET-MNT
mnt-lower:      HANSENET-NOC
mnt-routes:     HANSENET-MNT
created:        2007-11-08T15:55:34Z
last-modified:  2013-02-18T13:29:01Z
source:         RIPE

role:           HanseNet Network Operators
address:        Telefónica Germany GmbH & Co. OHG
address:        Ueberseering 33a
address:        D-22297 Hamburg
abuse-mailbox:  abuse.de@telefonica.com
e-mail:         hanoc@hansenet.com
admin-c:        CS8096-RIPE
tech-c:         TG819-RIPE # Thomas Graumann
tech-c:         ASZ-RIPE # Andreas Schwarz
nic-hdl:        HANO-RIPE
mnt-by:         HANSENET-NOC
created:        2007-11-08T13:51:02Z
last-modified:  2016-03-08T11:04:52Z
source:         RIPE


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#7 Piranha

Piranha

    Senior Member

  • 470 Beiträge

 

Geschrieben 25. April 2017 - 10:57

Weshalb blockt ihr das Ding nicht einfach?

Wundert mich sowieso das es nicht automatisch geblockt wurde, sofern es nicht benoetigt wird.


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#8 magheinz

magheinz

    Newbie

  • 1.222 Beiträge

 

Geschrieben 25. April 2017 - 18:23

Wenn man davon ausgehen kann/muss das der Rechner verseucht ist, dann kann man auchvden aussagen eines tools was auf diesem Rechner läuft nicht mehr trauen. Eine Eigenschaft von Rootkits ist es eben die eigenen Prozesse zu verstecken. Das Teil verhält sich seltsam: neu aufsetzen

#9 Otaku19

Otaku19

    Expert Member

  • 1.939 Beiträge

 

Geschrieben 26. April 2017 - 07:13

browser+traffic zu irgendeinem ISP....tippe mal auf so plugins/Möglichkeiten zur Fernwartung ? So detailiert sieht man so etwas nämlich nicht im netmon, zeigt nur den Prozess+socket an, ein plugin bzw eien built in Funktion eiens Browsers scheint da nicht einzeln auf


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX