Verkkoliikenteen tutkiminen

[MacEpeli]

Moi!

Onko mäkille softaa millä saa tarkalleen tutkittua prosessien verkkoliikenteen?

Nettiyhteyteni on todella hidas ja pätkivä. Nopeus vaihtelee 1Kt/s => 40Kt/s ja suurimmaksi osaksi se on 1ja 2Kt/s luokkaa.
Nämä lukemat ovat otettu järjestelmän valvonnan kautta.

iStat pro näyttää liikenteen määräksi n. 0.5 sekunnin ajan ihan kelpo lukemia mut sen jälkeen se tippuu lähemmäksi nolla

Soitin soneralle että mikä mättää. Tarkistivat ja sanoivat että kaikki on niiden mukaan kunnossa.

Epäilenkin että onko mulla joku prosessi joka tukkii kaistan?
Ja onko mäkkiini asentunut joku ihme softa(spyware) joka imasee koko kaistan?

Vähän kädetön olo tällä hetkellä ongelman kanssa.

En ole voinut kokeilla toisella koneella kotiverkkoa kun en omista toista konetta.

Yhteyteni toimii ethernetin kautta ja parikaapeli on suoraan kiinni kaapelimodeemissa missä ei ole mitään NAT tai palomuuri toimintoja.

Alla prosessilistaus , joku joka ymmärtää näiden päälle niin paikallistaa jos siellä on jotain täysin ylimääräistä

Ystävällisin Terveisin
PerhoEpeli

sh-3.2# ps -A
PID TTY TIME CMD
1 ?? 0:00.65 /sbin/launchd
10 ?? 0:00.40 /usr/libexec/kextd
11 ?? 0:00.75 /usr/sbin/notifyd
12 ?? 0:02.65 /usr/sbin/syslogd
14 ?? 0:29.88 /usr/sbin/update
15 ?? 0:00.01 /sbin/SystemStarter
18 ?? 0:00.43 /usr/sbin/securityd -i
20 ?? 0:27.74 /System/Library/Frameworks/CoreServices.framework/Frameworks/Metadata.framework/Support/mds
21 ?? 0:01.41 /usr/sbin/mDNSResponder -launchd
23 ?? 0:00.00 /usr/sbin/KernelEventAgent
25 ?? 0:00.00 /usr/libexec/hidd
26 ?? 0:02.60 /System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/CarbonCore.framework/Versions/A/Support/fseventsd
28 ?? 0:00.09 /sbin/dynamic_pager -F /private/var/vm/swapfile
30 ?? 0:00.66 /usr/sbin/diskarbitrationd
31 ?? 1:27.44 /usr/sbin/DirectoryService
33 ?? 0:08.88 /usr/sbin/configd
36 ?? 0:00.02 autofsd
37 ?? 0:00.74 /usr/libexec/ApplicationFirewall/socketfilterfw
40 ?? 0:01.71 /usr/sbin/distnoted
42 ?? 0:02.57 /System/Library/CoreServices/coreservicesd
43 ?? 0:00.26 /usr/sbin/blued
53 ?? 14:46.20 /System/Library/Frameworks/ApplicationServices.framework/Frameworks/CoreGraphics.framework/Resources/WindowServer -daemon
89 ?? 0:00.44 /usr/bin/perl /usr/sbin/streamingadminserver.pl
104 ?? 0:00.61 /usr/sbin/coreaudiod
158 ?? 0:00.01 /System/Library/PrivateFrameworks/MobileDevice.framework/Versions/A/Resources/usbmuxd -launchd
230 ?? 0:07.35 /System/Library/CoreServices/loginwindow.app/Contents/MacOS/loginwindow
254 ?? 0:00.41 /sbin/launchd
257 ?? 0:00.12 /System/Library/CoreServices/AirPort Base Station Agent.app/Contents/MacOS/AirPort Base Station Agent -launchd
261 ?? 0:00.23 /System/Library/CoreServices/Spotlight.app/Contents/MacOS/Spotlight
262 ?? 0:00.17 /usr/sbin/UserEventAgent -l Aqua
264 ?? 0:05.00 /System/Library/Frameworks/ApplicationServices.framework/Frameworks/ATS.framework/Support/ATSServer
265 ?? 1:11.43 /System/Library/CoreServices/Dock.app/Contents/MacOS/Dock -psn_0_163880
267 ?? 0:00.00 /usr/sbin/pboard
268 ?? 0:25.20 /System/Library/CoreServices/SystemUIServer.app/Contents/MacOS/SystemUIServer -psn_0_172074
269 ?? 0:19.06 /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder -psn_0_176171
274 ?? 0:00.09 /Library/Printers/Brother/Utilities/Server/LOGINserver.app/Contents/MacOS/LOGINserver -psn_0_184365
293 ?? 0:00.07 /Applications/iTunes.app/Contents/Resources/iTunesHelper.app/Contents/MacOS/iTunesHelper -psn_0_196656
296 ?? 0:03.09 /Library/Printers/Brother/Utilities/ControlCenter/ControlCenter.app/Contents/MacOS/ControlCenter -psn_0_204850
418 ?? 37:24.44 /System/Library/CoreServices/Dock.app/Contents/Resources/DashboardClient.app/Contents/MacOS/DashboardClient
419 ?? 0:09.50 /System/Library/CoreServices/Dock.app/Contents/Resources/DashboardClient.app/Contents/MacOS/DashboardClient
17922 ?? 0:00.13 /System/Library/Services/AppleSpell.service/Contents/MacOS/AppleSpell -psn_0_413797
77507 ?? 3:10.05 /Applications/Firefox.app/Contents/MacOS/firefox-bin -psn_0_1024250
82355 ?? 0:00.39 /System/Library/Frameworks/CoreServices.framework/Frameworks/Metadata.framework/Versions/A/Support/mdworker MDSImporterWorker com.apple.Spotlight.ImporterWorker.501
83278 ?? 0:08.70 /Applications/Utilities/Activity Monitor.app/Contents/MacOS/Activity Monitor -psn_0_1159451
83279 ?? 0:11.63 /Applications/Utilities/Activity Monitor.app/Contents/Resources/pmTool
83321 ?? 0:01.00 /System/Library/CoreServices/loginwindow.app/Contents/MacOS/loginwindow console
83324 ?? 0:00.01 /usr/sbin/UserEventAgent -l LoginWindow
83330 ?? 0:00.11 /System/Library/Frameworks/ApplicationServices.framework/Frameworks/ATS.framework/Support/ATSServer
83336 ?? 0:00.02 /Library/Printers/Brother/Utilities/Server/USBserver.app/Contents/MacOS/USBserver -psn_0_1200421
83341 ?? 0:00.04 /Library/Printers/Brother/Utilities/Server/NETserver.app/Contents/MacOS/NETserver -psn_0_1204518
83400 ?? 0:00.09 /System/Library/Frameworks/CoreServices.framework/Frameworks/Metadata.framework/Versions/A/Support/mdworker MDSImporterWorker com.apple.Spotlight.ImporterWorker.-2
83401 ?? 0:00.63 /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal -psn_0_1216809
83402 ttys000 0:00.01 login -pf OLEN POISTANUT TÄSTÄ OMAN TUNNUKSEN
83403 ttys000 0:00.01 -bash
83413 ttys000 0:00.02 su
83414 ttys000 0:00.00 sh
83415 ttys000 0:00.00 ps -A

[Sherukka]

Kokeile poistaa iStat, eikö se aiheuttanut joskus hämminkiä (tai päivitä uudempaan versioon)?

[MacEpeli]

Poistin iStatsin ja se ei auttanut ongelmaan

[kallekilponen]

LittleSnitch kertoo tarkalleen mitä verkossa liikkuu:

http://www.obdev.at/products/littlesnitch/index.html

[morbusg]

öh.. mikä tuo streamingadminserver.pl on? Ei kuulosta asiaankuuluvalta. EDIT: ah, sulla on siis Serveri -versio ilmeisesti?

Yksi käsky on esimerkiksi: netstat -f inet
tai jos haluaa dumppailla niin ihan normi tcpdump löytyy

[hot]

...ja ihan Macin omalla Network Utilityllä voi tutkia liikennettä, voi esim. pingata omaa verkkokorttia, modeemia/reititintä tai jotain verkon konetta ja katsoa, miten nopeasti paketit kulkee. Ohjelman Helpistä saa neuvoja ja sieltä oli myös linkkejä man-ohjeisiin.
Ping has started ...

PING http://www.hopeinenomena.net (77.240.21.169): 56 data bytes
64 bytes from 77.240.21.169: icmp_seq=0 ttl=49 time=15.193 ms
....
64 bytes from 77.240.21.169: icmp_seq=9 ttl=49 time=16.278 ms

--- http://www.hopeinenomena.net ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max/stddev = 14.955/19.338/42.739/7.935 ms

[MacEpeli]

Toi streamingadminserver.pl on Darwinin Streaming Serverin hallinta puolen perli skripti, joka ei kyllä kuormita mitenkään
verkkoliikennettä tällä hetkellä koska serveri ei ole käynnissä ja lisäksi vielä poistin sen prosesseista.

Little Snitchistä ei ole muuta kuin positiivistä sanomista kiitokset kallekilposelle.

Ja verkossa liikennöi ainastaan juuri ne ohjelmat jotka oletinkin siellä "huutelevan" .

Olen kuitenkin tällä hetkellä 99.5%:in varmuudella sitä mieltä että soneran teknisessä tuessa on taas jotain munattu tai toi meikän kaapelimodeemi on vaan jotenkin
paskana lan puolelta ettei soneran tyypit näe sitä.

Kiitokset kaikille hyvistä vinkeistä ja plussat taas nopealle vastaukselle

[securapple]

tcpdump on mukana os x:ssä

Tuolla saa kiinni kaiken, paketin tarkkuudella, pakettien sisällönkin näkee. graafisena vastaava
löytyy wireshark -nimellä.

-securapple

[Bashi88]

LittleSnitch kertoo tarkalleen mitä verkossa liikkuu:

http://www.obdev.at/products/littlesnitch/index.html

Asensin tuon ja huomasin sen tekevän ihan liikaakin ja huomauttelevan joka asiasta. Poistin sen, mutta ihmettelin kun se silti oli päällä Suhteellisen tuoreena Mac-käyttäjänä en tiennyt, että tässäkin käyttöjärjestelmässä jotkut ohjelmat joutuu poistamaan ihan uninstall-toimintoa käyttäen. No nytpä se on oikeasti poistettu koneelta, ohjelma jätti kuitenkin jälkeensä ongelman.

Ainoat ohjelmat, joilla on pääsy nettiin, ovat Safari ja Mail. Kaikki muut siis ilmoittavat jotain, ettei palvelinta löydy tai ettei yhteyttä voi muodostaa. Yhtäkään kertaa en LittleSnitchillä estänyt yhteyksiä, painoin aina vain ilmoitusikkunan kiinni.

Onko OS X:ssä jokin valikko, mistä voisi tarkkailla tarkemmin noita estettyjä yhteyksiä? Palomuurin asetuksista olen laittanut ohjelmille pääsyn nettiin. Vai pitääkö minun asentaa tuo hirvitysohjelma uudestaan ja katsoa sen valikoiden kautta noita?

EDIT: Ongelma ratkaistu

[gramdel]

LittleSnitch kertoo tarkalleen mitä verkossa liikkuu:

http://www.obdev.at/products/littlesnitch/index.html

Asensin tuon ja huomasin sen tekevän ihan liikaakin ja huomauttelevan joka asiasta. Poistin sen, mutta ihmettelin kun se silti oli päällä

Teitkö poiston siis http://www.obdev.at/products/littlesnitch/faq.html ohjeen mukaan?

/---
ap

[Bashi88]

LittleSnitch kertoo tarkalleen mitä verkossa liikkuu:

http://www.obdev.at/products/littlesnitch/index.html

Asensin tuon ja huomasin sen tekevän ihan liikaakin ja huomauttelevan joka asiasta. Poistin sen, mutta ihmettelin kun se silti oli päällä

Teitkö poiston siis http://www.obdev.at/products/littlesnitch/faq.html ohjeen mukaan?

/---
ap

Ongelma ratkaistu

Juu tuo sama ohje oli disc imagessa mukana Käynnistelin koneen muutamaan kertaan uudestaan, se näytti vievän kaikki edellisessä viestissä mainitut ongelmat mukanaan En tiedä sitten mitä tapahtui. Enkä tiedä miksei se ensimmäisellä kerralla vaikuttanut.

[luu5]

Jos verkkoliikennetta haluaa viela tutkia niin Wiresharkilla (ex Ethereal) voi sniffailla. Eli http://www.wireshark.org.

[Bashi88]

Laitampa tänne kysymyksiä, kun en sopivampaa aihetta löytänyt.

1. Miksi tämmöinen löytyy skannaamalla Airport Expressin portteja?: Open TCP Port: 5009 winfs
"winfs" on ilmeisesti windows file system, ihmettelen vain mitä se minulla tekee kun ei ole muuta kuin tämä Air kiinni verkossa.

2. Seikkailin sivustolla http://www.auditmypc.com ja sivuston mukaan heidän tarkistustyökalunsa pystyi helposti saamaan selville asuntoni IP-osoitteen lisäksi tämän koneen lähiverkossani omaavan IP-osoitteen. Luulin, ettei AE:n takana olevia koneita näy verkossa?

Näkemäni huomautus oli siis tämä: Your information may appear above, if it does and is different than (asuntoni IP), then you are not completely safe! Your computer allowed a program to run unrestricted and grab personal information.

Huomautuksen yläpuolelle ilmestyi siis asuntoni IP:n sijasta tuo itse määrittelemäni IP, jonka koneeni tässä lähiverkossa saa. Pitääkö nyt huolestua? Mielestäni olen tukkinut kaikki mahdolliset ylimääräiset tiet verkkooni.

[Bashi88]

2. Seikkailin sivustolla http://www.auditmypc.com ja sivuston mukaan heidän tarkistustyökalunsa pystyi helposti saamaan selville asuntoni IP-osoitteen lisäksi tämän koneen lähiverkossani omaavan IP-osoitteen. Luulin, ettei AE:n takana olevia koneita näy verkossa?

Aina käy näin, että ratkaisu löytyy heti kun sitä on täällä tiedustellut Kyseessä oli siis tietynlainen javascript, jonka suorittamalla sivusto pääsi tutkimaan yksityistä IP:täni. Safarin asetuksista "Salli javascript" pois, eikä sivusto enää löytänyt edellä mainittua tietoa. Tosin tuo aiheuttaa joitakin toimimattomuuksia, mutta katsellaan josko ilman tuota tulisi toimeen. Ehkä olen vähän vainoharhainen, mutta en halua tuon tiedon näkyvän ulospäin..

[TheKraken]

Minun nähdäkseni sisäverkon IP:n "vuotamisella" johonkin ei ole mitään merkitystä. Kukaan ei sitä voi mitenkään väärinkäyttää.

Sen voi melkein jo arvatakin: 10.0.0.1 kaikella todennäköisyydellä osuu johonkin sinun koneeseesi tai 192.168.0.1. Ja jos ei, niin siitä vaan arvailemaan numeroita. Ei montaa tartte mennä kun arvaus osuu oikein.

Sisäverkon IP:t luodaan laitteissa tietyn systeemin mukaan eikä niitä yleensä arvota (omassa verkossa ovat 10.0.0.1 ja siitä viiteen asti). Tälle syynä se, että mitään vaaraa ei tästä ei aiheudu.

[Bashi88]

Minun nähdäkseni sisäverkon IP:n "vuotamisella" johonkin ei ole mitään merkitystä. Kukaan ei sitä voi mitenkään väärinkäyttää.

Sen voi melkein jo arvatakin: 10.0.0.1 kaikella todennäköisyydellä osuu johonkin sinun koneeseesi tai 192.168.0.1. Ja jos ei, niin siitä vaan arvailemaan numeroita. Ei montaa tartte mennä kun arvaus osuu oikein.

Sisäverkon IP:t luodaan laitteissa tietyn systeemin mukaan eikä niitä yleensä arvota (omassa verkossa ovat 10.0.0.1 ja siitä viiteen asti). Tälle syynä se, että mitään vaaraa ei tästä ei aiheudu.

Selvä homma, kummitteli vaan mielessä tuollainen väittämä, ettei NATin takana olevia voi nähdä ulospäin. Mutta eipä tarvitse sitten enempää asiaa ihmetellä

[luu5]

Niin ei NATin takana olevia osoitteita voikaan nahda ulos, ellei sitten niita osotteita sielta sisalta kerro, kuten sinulla javascripti kait sitten teki. Koska sisaverkoissa (yleensa) kuitennin kaytetaan reitittymattomia osoitteita 10.x.x.x tai 192.168.x.x tai 172.?.x.x niin eipa noihin ulkoapain paase kasiksi.