nachdem ich Anfang des Monats viel beschäftigt- und letzte Woche krank war, ging ich davon aus, dass mein montatliches Volumen < 5GB beträgt. Aber - ich hätte mich fast neben den Stuhl gesetzt - es stand auf 23 GB. Und ich hatte die letzten Abende immer nur mal ein bischen Gothic4 gespielt. Also nix Internet. Trotzdem - auch wenn ich den PC überhaupt nicht an hatte, waren Werte von 3-5 GB pro Tag zu verzeichnen.
Erst hatte ich den Spielehersteller in Verdacht, dann Viren oder Trojaner. War aber alles ok. Dann hatte ich sukzessive alle PCs und Router abgeklemmt, später WLAN auch. Immernoch ging der Download pro Minute bei mir zwischen 2 und 10 MB hoch. Letztendlich hatte ich nur meine Fritzbox an und habe mit meinem Kindle den Traffic geprüft. Ging immer noch hoch. Der Upload blieb gleich. Das deutet nach meinen einschlägigen Erfahrungen auf unangeforderte Pakete hin.
Dies schrieb ich dem Support. Die teilten mir aber mit, dass das höchst unwahrscheinlich ist und dass Sie keine Daten mitschneiden können (klar doch!) und das es am WLAN oder so liegen könnte. Super!
Ich hab dann die Fritzbox als PPPoE Router deaktiviert. Und dies meinen Linux Server machen lassen. Dann per tcpdump die Pakete mitgeschnitten und siehe da:
[..]
17:12:59.950745 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 359
17:12:59.956028 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:12:59.959954 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 358
17:12:59.969001 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:12:59.977049 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 359
17:12:59.983547 IP 121.28.12.110.59740 > 212.89.221.xs.sip: SIP, length: 358
17:12:59.994018 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.003788 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.010244 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.019171 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.027146 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 359
17:13:00.034002 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.044011 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
17:13:00.054046 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 359
17:13:00.062492 IP 121.28.12.110.59740 > 212.89.221.xx.sip: SIP, length: 360
[..]
Da bekomme ich also pro Sekunde(!) zirka 100 oder mehr SIP Pakete von der 121.28.12.110 (China). So das ist mir jetzt auch mal nen Smiley wert:
Grundsätzlich ist mir das auch egal, aber wenn ich dafür dann bezahlen muss, dann ärgert mich das schon. Ich logge gerade den Spam mit. Die Datei ist in 20 Minuten schon auf 12 MB angewachsen und das ist nur die Ansicht wie oben udn nicht die Rohdaten. Bin mal gespannt was die SW dazu sagen.
Also prüft mal Eure Volumen, wobei ich eigentlich nicht denke, dass die mehrere Rechner in einem Subnetz angreifen.
So denn!
Grüße,
Axel