DS218+ Ständiger Upload meiner Daten irgendwohin ins Internet...

[blurrrr]

...vor Ort habe, nur ein tablet und unter Android...

Perfekt, reicht! Via VPN über RDP nach Hause auf den Rechner und da einfach weitermachen.... (sofern das alles eingerichtet ist, was es vermutlich nicht ist) ? Apps für den Import von .pcap-Files wüsste ich jetzt für Android auch nicht (eigentlich für gar kein Mobilgerät, weil ich auf solche Ideen irgendwie nicht komme) , aber was solls - nächste Woche ist auch noch eine Woche

Tröstlich ist ja schon mal der Gedanke, dass nicht "volles Rohr" durchgeballert wird, was die ausgehende Datenübertragung angeht. Könntest bei Synology auch mal anfragen, wie die zu übertragende Datenmenge (und die Intervalle!) von ActiveInsight so aussehen sollten/müssten/könnten/wie auch immer. Frage ist auch, ob die "nur" via SNMP (Standard) abgreifen, oder ob da noch etliche Scripte (via SNMP-Extend) hinterlegt sind, die auch noch ordentlich Daten ranholen, usw. Also müsste man erstmal wissen, was genau das ActiveInsight überhaupt genau macht, damit man die Lage vernünftig beurteilen könnte ?

Aber wie gesagt, komm erstmal wieder in heimische Gefilde, danach kriegen wir das schon hin (war ja jetzt auch etwas sehr spontan, kurzfristig und mit engem Zeitplan) ??

 

[synfor]

Via VPN über RDP nach Hause auf den Rechner

Müssten da VPN und RDP nicht die Plätze tauschen?

 

[d2tom]

Ja, stimmt. Hätte ich mal den Rechner angelassen, dann könnte ich jetzt über Teamviewer daran arbeiten.
Leider kein lan Kabel an dem PC dran, für wakeonlan Befehl und TV ist nicht im Startmanager konfiguriert .

Nächstes mal bzw in einer Woche geht es wieder ran.

 

[blurrrr]

...nicht die Plätze tauschen?

....vermutlich, frag sie mal, ich weiss nicht, ob irgendwer davon auf den gebuchten Tickets besteht. Umtauschrecht ist auf jeden Fall nicht drin, aber vielleicht können sich die beiden ja noch gütlich einigen... ??

 

[d2tom]

Hey Leute,

Wireshark ist installiert, per Putty und Fritzbox Mittschnitte runtergeladen & umbenannt & geöffnet.
Jetzt habe ich da hunderttausende Zahlen, Ips und Port-Weiterleitungen.

Wie kann ich jetzt herausfinden, welche Anwendung Daten / wohin auch immer sendet?

 

[blurrrr]

Anwendung definiert sich i.d.R. nach "Port", Ziel definiert sich nach Ziel-IP (ggf. wird irgendwo vorher eine DNS-Abfrage nach der Zieladresse auftauchen).

 

[d2tom]

Halo @blurrrr da bist Du ja wieder Also die 93.131.41.12 war zb meine IP Adresse und von da wurden Daten an verschiedenen IP Adressen gesendet, wenn ich einige Checke lande ich bei verschiedenen Anbietern, oft Amazon (obwohl ich nichts damit zu tun habe). Ich kann nach Ausgehenden und eingehenden IPs sortieren, nach Protocol, Länge. Datum, Info - aber wie sortiere ich nach gesendeten Daten von meiner IP weg?

 

[Jagnix]

Also die 99.79.8.138 ist irgendwo in der Urkraine . Klick mich

 

[d2tom]

Also die 99.79.8.138 ist irgendwo in der Urkraine . Klick mich

Ujj, mir zeigt die Seite USA - Amazon: http://www.utrace.de/whois/99.79.8.138

 

[Jagnix]

Komisch

 

[AndiHeitzer]

Dann würde ich mal auf AWS (AmazonWebServices) tippen.
Die laufen Weltweit verteilt.

 

[d2tom]

Dann würde ich mal auf AWS (AmazonWebServices) tippen.
Die laufen Weltweit verteilt.

Ja, hab das auch gedacht, aber ich hatte noch nie was mit Amazon und Synology bzw hab auch keine Verbindung zwischen den Diensten hergestellt (Cloud zb).

 

[AndiHeitzer]

Das musst nicht zwingend Du selber sein.
Bei uns (Firma) werden auch Services angeboten, die im Hintergrund weitere namhafte Cloud-Services nutzen. Das könnte bei Syno durchaus auch sein.

 

[blurrrr]

Übersicht gibt es via "Statistic -> Conversations" bzw. "Statistik -> Verbindungen"



Was die Filter angeht, da gibt es auf der Wireshark-Website selbst ein paar schöne (einfache) Beispiele:

https://wiki.wireshark.org/DisplayFilters

Das schöne dabei ist, dass man diese Filter auch entsprechend kombinieren kann, z.B.

ip.src == 192.168.1.0/24 and tcp.port eq 5001
(Filter auf DSM-Zugriff aus dem z.B. eigenen Netzwerk (hier beispielhaft 192.168.1.0/24))

Zum ermitteln von DSM-Zugriffen aus dem eigenen LAN (IP-Range muss natürlich angepasst werden und es muss ein Mitschnitt vom NAS verwendet werden). Alternativ halt Port-Mirror am Switch (wer sowas hat, kann sich halt glücklich schätzen).

Heisst kurzum: Wenn Du dort nach Deiner öffentlichen IP als Quelle (Source) fragen möchtest, wäre es der Filter: "ip.src == 93.131.41.12"

 

[d2tom]

Hab die 2 Verursacher gefunden!! Yupiii ???

Hier die Auflösung vorab (wer nicht alles lesen will) für alle die auch danach suchen:

Es waren C2 Cloud Sicherung + Insight von Synology! (diva-e, firstcolo)

1. Als ich mein DSM 7 eingerichtet habe, wurde ich gefragt ob ich kostenlos an einer Beta für C2 Cloud teilnehmen möchte. Da das normalerweise Geld kostet, hatte ich hier meine "Häkchen" gesetzt und mich dort direkt angemeldet. Das ist jetzt erstmal abgeschaltet.
2. Die 2 Sache - es waren die Statistiken vom INSIGHT. Dort werden alle möglichen Daten zu Gesundheit der Festplatten und Datenverkehr gesammelt. Komischerweise lief dieser Dienst weiter, obwohl ich es bei den Port-Tests abgeschaltet hatte.

Eins vorweg - ohne Eure Hilfe, hätte ich die Verursacher nicht gefunden, vor allem bin ich Dir @blurrrr mega Dankbar, da Du mir am meisten bei der Sache geholfen hast. Mit allen Infos und Deiner Hilfe, konnte ich über Putty, Fritzbox Mitschnitte und Wireshark die IPs zuordnen.

So wie ich das sehe, hat diva-e Rechenzentren GmbH in Frankfurt am Main was mit Synology Auswertungen bzw mit dem Synology INSIGHT zu tun. AUsserdem werden die Daten anscheinend auch noch weiter gereicht, da ich weitere Verbindungen zu Elektronischen Datenverarbeitung GmbH/ANEXIA gefunden habe. Jedenfalls ergab das bis hier hin meine Recherche und nach kompletten Abschaltung und Löschen der Verbindung zu INSIGHT, sind die Verbindung weg.

Hier unterscheidet INSIGHT zwischen abschalten und direktem löschen im Dienst. Beim abschalten, läuft das ganze anscheinend weiter und wird noch bis zu 30 Tagen auf den Servern aufbewahrt und ausgewertet. Beim direkten löschen bzw. Abo beenden unter https://insight.synology.com/de-de/subscription wird dann auch die Verdingung zu der NAS sofort gelöscht.



Das ganze hat mich jetzt so einige Stunden Nerven gekostet, beim nächsten Mal schaue ich mir das Kleingedruckte vorab genauer an ?

 

[the other]

Moinsen,
na, zum Glück.
Voll verständlich, dass das beunruhigt.
Meist ist aber dann doch der USER VOR DEM BILDSCHIRM, derjenige, der was abnickt und dann eben sowas ermöglicht.
Hab ich selber auch schon gemacht...und dann kurz mal Panik geschoben, also willkommen im Club.
Also: zukünftig die Telemetrie Dienst nicht aktivieren, es sei denn du willst das ganz bewusst so.
Und in der Tat lustig, dass du den Clouddienst nutzt, wo du doch (zumindest in Verbindung mit den amazon Cloud Diensten) geschrieben hattest:

aber ich hatte noch nie was mit Amazon und Synology bzw hab auch keine Verbindung zwischen den Diensten hergestellt (Cloud zb).

Positiv denken: anhand des NICHT-Problems hast du sicherlich (auch dank der User hier) einiges über die Netzwerkanalyse gelernt, was du nutzen kannst, wenn mal ein ECHTES Problem auftauchen sollte...was ich aber weder dir noch sonst wem hier wünsche.
Schön, dass das vom Tisch ist!

 

[d2tom]

...und dann kurz mal Panik geschoben, also willkommen im Club.

Bei mir waren das mehrere Tage Panik ?

Inwieweit jetzt Synology mit Amazon Cloud zusammenhängt, ist mir aber noch nicht ganz bewusst.

 

[blurrrr]

Versuch es mal mit "angemietete Ressourcen" (Server, Loadbalancer, was auch immer...)

EDIT: Axo, wo ich es grade so sehe... first colo und so... divae-wasauchimmer... hat "nichts" zu sagen in diesem Kontext. Wenn Du bei mir 1HE für eine Rackstation mietest und von mir eine statische öffentliche IP für die Syno bekommst, ist es Dein Gerät (aber mein Netz). Schickst Du Dir jetzt als NAS-Hersteller die Daten Deiner Kunden auf Deine Rackstation bei mir im Netz, gingen die Daten (augenscheinlich) an mich (Netzbetreiber), aber eigentlich gehen sie an Dich. Wenn Du etwas an mich schickst, geht das ja auch an "mich" (Mieter) und nicht den Hausbesitzer

Manchmal haste aber eine Chance über den PTR-Record (DNS) - quasi ein "nslookup" auf die IP - noch entsprechende Hinweise einzukassieren. Mit etwas Glück ist da ein entsprechender PTR-Record hinterlegt - mal ganz beispielhaft sowas wie:

nslookup <ip> = "stats-server42.eu.synology.com"

Wobei... genau "jetzt" glaub ich nicht mehr dran, da:

Name: synology.com
Address: 210.61.203.217

und

Name: 210-61-203-217.HINET-IP.hinet.net
Address: 210.61.203.217

Anscheinend nimmt man es damit wohl nicht so genau, oder es wird vom Anbieter (hinet.net) erst garnicht angeboten "tja....", hauptsache Bikini-Girls direkt auf der Startseite... ?