Ermitteln, welches Programm hohen Traffic verursacht

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Hi,

im Data Flow Monitor meines Routers sieht man, dass ein Rechner im Netz sehr viel eingehenden Traffic verursacht. Gibt es eine Möglichkeit zu ermitteln, welches Programm den Traffic verursacht?
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Woher weiß ich über welchen Port was läuft? Das SysLog des Routers zeigt scheinbar nur eingehende Verbindungen an. Und was, wenn es auch über Port 80 läuft.
 

j33n5

Horneburger Pfannkuchenapfel
Registriert
18.12.06
Beiträge
1.407
Hm, das weiß ich leider auch nicht.. kannst du evtl. ein wenig deien Situation schildern, vielleicht gäbe es ja auch noch andere Möglichkeiten.
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Problem ist, dass wir uns eine DSL-Leitung teilen und dass das Surfen immer langsamer wird und irgendwann sogar der Router abkackt. Im Flow-Monitor sieht man die IP-Adressen, welche Traffic verursachen und da steht ein Computer sehr oft ganz oben. Zudem sieht man in der Statistik on QOS, dass ständig Inbound-Traffic herrscht. Da ich QOS-Regeln definiert habe, kann ich folgende Ports ausschließen: 143,110,25,993-995,53,80,8080,88,443,144,1,7070,20,21,1024-1280,115,22
Diese Inbound-Verkehr ist aber nicht im Flow-Monitor zu sehen. Kann aber auch sein, dass ich das mit Inbound und Outbound falsch verstehe.
 

j33n5

Horneburger Pfannkuchenapfel
Registriert
18.12.06
Beiträge
1.407
Wenn dem so ist, würde ich zum entpsrechenden PC gehen und ihn mal drauf ansprechen, was er so treibt. Nett ist das nämlich nicht, wenn der dir das ganze Netzwerk lahmlegt.
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Ein Programm nach dem andern beenden bis der Traffic runterkommt. Dann war es das letze von denen.
 

zweiundvierzig

Horneburger Pfannkuchenapfel
Registriert
25.01.07
Beiträge
1.420
kannst du nicht iwie die IPs beschränken, sprich die Bandbreite "gerecht" aufteilen?
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
@j33n5: Genau das ist meine Frage, wie kann ich rausfinden, welcher Prozess für den Netzwerkverkehr zuständig ist.

@Kernelpanik: Alle Programme sind beendet, trotzdem zeigt der Flow-Monitor volle TX-Last (Upload). Das MobileMe-Rad dreht sich zudem nicht.

@zweiundvierzig: Mit QOS soll die Last ja verteilt werden, aber wenn ein Client ständig was macht, bekommt der andere nur die Hälfte der Bandbreite. Bei DSL 3000 ist das dann schon deutlich zu spüren.
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Schau mal nach welche Prozesse auf der Maschine laufen oder einfach mal das Kabel ziehen (bzw. das WLAN ausschalten) ob es auch die richtige Kiste ist.
Du kannst auch einmal netstat -a im Terminal eingeben, dann siehst du, welche Verbindungen aufgebaut wurden.
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Kann man denn nicht sehen, welches Programm für die Verbindungen zuständig ist? So kann ich ja gleich Würfeln.
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Hast du dir meinen Beitrag mit dem Tipp "netstat -a" angesehen?
Edit: Hier mal 4 Zeilen von meiner Ausgabe
tcp4 0 0 172.16.10.141.60991 www.apfeltalk.de.http ESTABLISHED
tcp4 0 0 172.16.10.141.60950 64.12.30.52.aol ESTABLISHED
tcp4 0 0 172.16.10.141.60723 65.55.253.60.msnp ESTABLISHED
tcp4 0 0 172.16.10.141.60720 64.12.25.121.aol ESTABLISHED

Daran erkennst du was für Protokolle/Ports gerade in Anspruch genommen werden. Das direkt auf dem verursachenden Rechner ausführen.
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Ja schon. Aber welches Programm die Verbindung erstellt ist nicht ersichtlich. Auswendig welches Programm welche Ports benutzt, weiss ich leider nicht.
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Das kann man nachschlagen. Man sieht aber erst einmal wohin die Verbindungen gehen und sieht halt auch was für ein Protokoll das ist.
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Wo kann man das nachschlagen? Und wo seht ihr da Ports? Die 5stellig Zahl? Eine http-Verbindung zu apfeltalk auf Port 60991?
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Kann ich erst Montag sagen, waren so 60 bis 100 Zeilen bei netstat
 

drlecter

Wöbers Rambur
Registriert
04.11.06
Beiträge
6.442
Die unteren sind unwichtig. Wichtig ist der obere Bereich. Du kannst auch mal in den Optionen von Netstat schauen. Sockets von Server Prozessen sind normalerweise unwichtig.
 

Tekl

Fairs Vortrefflicher
Registriert
01.06.05
Beiträge
4.630
Hatte das Thema ganz vergessen. Mein Problem besteht weiterhin. Ich habe alle Programme beendet, alle Sharing-Dienste ausgeschaltet, mich bei MobileMe abgemeldet, alle File-Server abgemeldet, Hintergrundprogramme wie DropBox und TextExpander beendet. In der Aktivitätsanzeige verhält sich nichts auffällig, einzig pmTool, Aktivitätsanzeige und kernel_task haben mehr als 1% CPU-Last. Mit fseventer konnte ich auch keine übermäßigen Dateizugriffe feststellen.

Bei Netstat hat idisk.mac.com einen recht hohen Send-Q-Wert (über 60000). Ist das ein aktueller Wert oder zeigt der gesendete Daten seit Start des Macs an? Wenn dass ein aktueller Wert ist, wunder mich dass, da ich iDisk-Synch ausgeschaltet habe und die iDisk in dieser Sitzung nicht genutzt habe.