Netzwerk-Traffic

M

ms-gdh

New Member
Seltsame Mail ist heut angekommen. Ich zitiere mal:

Betreff: Seltsamer Netzwerk-Traffic

Hallo Herr Sch....,

ich schreibe Sie an, da mein Provider (Keyweb AG) nicht so richtig auf meinen Hinweis reagiert hat. Ich beschreibe mal kurz worum es geht:

Ich habe vor ca. 10 Tagen festgestellt, dass sich der Traffic am Interface eth0 meines Servers erheblich erhöht hat.
Ich habe daraufhin näher nachgeschaut woran das liegen könnte. Dabei habe ich gesehen, dass sehr viel Traffic an meiner Netzwerkkarte vorbeiläuft, der nichts mit meinem Server zu tun hat.
Ich habe mir dann mal die Inhalte der Pakete mir angeschaut und gesehen, dass ich von manchen Domains (z.B. auch ms***.de) den kompletten Traffic mitlesen kann. Ich sehe dort z.B. Ihren Zugriff auf Ihren Mail-Account per IMAP (inklusive Benutzername/Kennwort).

Ich habe Keyweb darauf angesprochen und dort ein Ticket eröffnet, aber die sagen: Das ist völlig normal. Ich bin der Meinung das kann nicht ganz normal sein, oder? In einem geswitchten Netzwerk kann man grundsätzlich nicht den Traffic der anderen Ports mitlesen.
Click to expand...

Von Keyweb kam noch keine Antwort, die haben ja schon WE.
Aber wie kann das sein, dass andere meinen Traffic mitlesen können und so auch meine Zugangsdaten herausfinden?
 
ms-gdh said:
Aber wie kann das sein, dass andere meinen Traffic mitlesen können und so auch meine Zugangsdaten herausfinden?
Click to expand...

In der c't stand mal vor ein paar Jahren im Rahmen eines Server-Providertests, dass einige Provider ihre Router und Switches unzureichend konfiguriert hatten und es daher möglich war, den Traffic der "Nachbarn" mitzulesen. Dein Provider sollte das abstellen können...:D

Deine Zugangsdaten kann niemand rausfinden, da Du ja verschlüsselte Zugänge verwendest (ssh/scp statt telnet und ftp, imaps, https für vertrauliche Daten, etc). Falls Du diese Protokolle nicht verwendest, sollte Dir klar sein, dass Deine Nachbarn nicht die Einzigen sind, die mitlesen können... Das Internet ist leider nicht mehr so freundlich wie noch vor 20 Jahren :(

LinuxAdmin
 
Hallo!
LinuxAdmin hat mit den Protokollgeschichten sicherlich recht, trotzdem darf soetwas in einem sauber geschwitchtem Netz nicht passieren. Ich kann mir nur vorstellen, dass hier ein Konfigurationsfehler / Kofigurationsproblem seitens Keyweb vorliegt.

mfG
Thorsten
 
Ich denke auch, dass hier ein Konfigurationsfehler vorliegt.
Allerdings habe ich so das Gefühl, dass der Urheber der Mail schon versucht hat, das bei den entsprechenden Stellen zu melden und dabei wohl nicht auf die gewünschte Resonanz gestoßen ist. Daher wird er wohl seine "Leidensgenossen" im Netzwerksegment ermittelt und angeschrieben haben, damit die sich ebenfalls beschweren -- warum sollte er sich sonst die Mühe machen, sie zu informieren wenn das Problem nicht mehr lange besteht?

Hoffentlich geht die Strategie auf :o

Grüße,
LinuxAdmin
 
Gleiches Problem hatte ich auch schon bei Keyweb moniert (habe einen Rootserver). Mein Monitoringtool wurde von Anfragen, die an irgendwelche Streamingserver im Subnetz (?) gingen nur so überschwemmt. Die meinten auch, das wäre normal und sie könnten nichts tun. In ein anderes Subnetz wollten sie mich auch nicht verlagern, auch haben sie den Verursacher noch nicht mal darauf hingewiesen. Ziemlich dämliches Verhalten, wie ich finde.

Die reden da von "internem Traffic", wird nicht berechnet, etc. Dass da Sicherheitsaspekte tangiert werden, ist denen gar nicht aufgegangen.

Thunda
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top