Traffic von/zu strohhalm22.schlund.net

[alexander newald]

Code: Select all

20:52:05.020275 strohhalm22.schlund.net.domain > domain1.de.47575: 54248 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:05.969299 strohhalm22.schlund.net.domain > domain2.net.38575: 13145 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:05.970068 strohhalm22.schlund.net.domain > domain1.net.38575: 13146 1/3/3 A dynadsl-080-228-64-105.ewetel.net (171) (DF)
20:52:05.975423 strohhalm22.schlund.net.domain > domain1.net.38575: 9994 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:06.418119 strohhalm22.schlund.net.domain > domain2.de.47575: 41724 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:06.906106 strohhalm22.schlund.net.domain > domain2.de.47575: 5573 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:06.975979 strohhalm22.schlund.net.domain > domain1.net.38575: 6829 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:06.976824 strohhalm22.schlund.net.domain > domain1.net.38575: 6830 1/3/3 A dynadsl-080-228-64-105.ewetel.net (171) (DF)
20:52:06.982440 strohhalm22.schlund.net.domain > domain1.net.38575: 3464 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:07.983236 strohhalm22.schlund.net.domain > domain1.net.38575: 1403 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:07.984088 strohhalm22.schlund.net.domain > domain1.net.38575: 1404 1/3/3 A dynadsl-080-228-64-105.ewetel.net (171) (DF)
20:52:07.989340 strohhalm22.schlund.net.domain > domain1.net.38575: 26982 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:08.100235 strohhalm22.schlund.net.domain > domain2.de.47575: 3072 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:08.756844 strohhalm22.schlund.net.domain > domain2.de.47575: 52664 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:08.995030 strohhalm22.schlund.net.domain > domain1.net.38575: 22392 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:08.995836 strohhalm22.schlund.net.domain > domain1.net.38575: 22393 1/3/3 A dynadsl-080-228-64-105.ewetel.net (171) (DF)
20:52:09.001334 strohhalm22.schlund.net.domain > domain1.net.38575: 48089 1/4/4 PTR dynadsl-080-228-64-105.ewetel.net. (258) (DF)
20:52:09.319749 strohhalm22.schlund.net.domain > domain2.de.47575: 8808 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:09.794882 strohhalm22.schlund.net.domain > domain2.de.47575: 25304 1/4/4 PTR p508585A4.dip0.t-ipconnect.de. (247) (DF)
20:52:09.802139 strohhalm22.schlund.net.domain > domain3.de.18044: 49481 1/3/4 PTR pD9E33453.dip.t-dialin.net. (239) (DF)

Hi,

ich habe auf meinem Rooti in 217.160.140 zur Zeit ca 7,5 KB/s Traffic von und zu Domains, die nicht auf dem Rooti liegen??

Die Domains habe ich mal "ausgeblendet"

Any Hints?

Alexander Newald

[captaincrunch]

Die Strohhalme sind die DHCP-Server. Genau dieses Phänomen hatte ich bei meinem ersten Posting hier im Forum auch bemerkt, und mich darüber gewundert, warum die so viel NetBIOS-Müll (Broadcasts) ins Netz schleudern.
Genau das wird auch bei dir der Fall sein, da du auch in geswitchten Netzen Broadcasts abbekommst.

[alexander newald]

Ok, aber das oben sind doch wohl DNS Abfragen und 7,5 KB/s ist schon etwas viel (7,5 KB / 1024 / 1024 * 3600 * 24 * 30 =~ 18 GB) das kann es doch nicht sein???

Alexander Newald

[captaincrunch]

OK, ich hätte mal näher hinsehen sollen ...

Hast du einen Nameserver laufen ? Dein Auszug ist nicht allzu hilfreich, wie wär's mit einem tcpdump-Auszug (bitte nur ein kleiner ;) ) ?

[alexander newald]

Hi, das oben ist ein vollständiger tcpdump Auszug und zwar von

Code: Select all

tcpdump -i eth0 -p not port ssh and not port http

also sollte die Netzwerkkarte auch nicht im promiscuous mode laufen.

Ich habe lediglich die angefragten Domains ersetzt, damit das mit dem veröffentlichen ok geht. Der Auszug ist zwischen erster und letzter geposteten Zeile vollständig.

Auf dem Server läuft nur eine Domain und kein Nameserver.

Alexander Newald

[dodolin]

Ã?h... per Default (d.h. mit dem Image von 1&1 und auch im Rescue) sind die Strohhalm-Rechner als DNS in der /etc/resolv.conf eingetragen. Kannst du das mal prüfen, was da bei dir drin steht?

Wenn du im Apachen z.B. HostnameLookups On hast, könnte das z.B. mit dazu beitragen, wenn deine Seiten viele Requests bekommen...

[alexander newald]

Hi, ja das ist es...

aber erklährt trotzdem nicht diesen Traffic:

Code: Select all

20:52:07.984088 strohhalm22.schlund.net.domain > domain1.net.38575: 1404 1/3/3 A dynadsl-080-228-64-105.ewetel.net (171) (DF) 

Der Traffic kommt von strohhalm22 und geht nach domain1.net wobei domain1.net nicht auf dem Server liegt und der Promiscuous Mode nicht an ist, sollte tcpdump diesen Traffic garnicht sehen (tcpdump -p -i eth0)

Oder täusche ich mich da?

Alexander Newald

[dodolin]

Ah, ok. Das hatte ich noch nicht richtig mitbekommen, dass domain1.net nicht dir gehört. Manchmal ist das Verschleiern halt etwas hinderlich, aber ok.

Ich weiß jetzt nicht, wie tcpdump an die Anzeige von domain1.net kommt, ich nehme ja mal an, dass er selbst nur IPs sieht, die aber für die Anzeige dann in Hostnamen umwandelt...

Welche IP gehört zu domain1.net und wohin löst die Reverse auf? Ist das konsistent und beides nicht dein Rechner?

Wenn ja, würde ich dich bitten, das an den Support oder z.B. security at schlund.net (falls existent - normalerweise sollte das supportet sein...) zu schicken und mal nachzufragen, warum das so ist. Eigentlich sollten die Kunden untereinander so abgeschirmt sein, dass das nicht möglich ist. Des weiteren ist ja auch die Frage, wenn du den Traffic siehst, ob du dafür zahlen musst? Frage das am besten auch gleich mit. Die Frage gehört zwar eigentlich an die Rechnungsstelle, aber ich gehe schwer davon aus, dass die dort kein Technik-Wissen haben. Und die Abrechnungsstatistiken werden ja sicher auch von der Technik gemacht, also dort mal nachfragen.

[sfeni]

Wird dieser Traffic denn überhaupt berechnet?

[captaincrunch]

Kurze Antwort : Ja.

Längere Antwort : Nur der Traffic zum Update- und zum Backupserver (sofern gemitet) sind kostenfrei ...

[sascha]

Bist du sicher? Auf dem Strohhalm liegt z.B. auch das Image des Rescue Systems.

[sfeni]

Ich frage deswegen, weil 18GB auf der Rechnung sicherlich auffallen müssten. Mir sind die Vertragsregelungen klar, dass alles berechnet wird außer backup- und updateserver, aber stimmt das denn auch wirklich?
vielleicht wird der traffic zum strohalm auch nicht berechnet!?!?

[alexander newald]

Ich werde mal schauen, ob der Traffic berechnet wird. Da mir das aber erst seit gestern aufgefallen ist, muss ich noch warten, bis 1&1 mit seinen Daten nachgekommen ist (Warum hinken die eigendlich immer 3-4 Tage hinterher?)

Alexander Newald

[sfeni]

Warum hinken die eigendlich immer 3-4 Tage hinterher?

Würde mich auch mal interessieren...

[hirni]

So weit ich weiß aktuallisieren die nur, wenn man >200MB Traffic pro Tag hat ... hab ich zu mindest mal gehört :)

[dopefish]

nah ich habe >1GB pro tag und hinke genauso hinterher

[alexander newald]

Ja, das kann es nicht sein. Vor allem sind es mal 2 aber auch mal 5 Tage (eher selten)