DSM 7.2 Traffic Analyse

[starpvtpaula]

Meddl,

ich habe festgestellt das meine DS920+ seit kurzem Traffic auch Nachts generiert den ich mir nicht erklären kann. Ich wollte das ganze mal unter die Lupe nehmen. Man sieht das in den Traffic Logs ganz gut. Dieses Auftreten kenne ich so nicht und wollte wissen wer der Übeltäter ist. Wenn die Logs meiner Unifi stimmen ist es die DS920+.

Wie bekomme ich mit Boardmitteln ggf raus welcher Prozess das ist ohne vor dem Gerät zusitzen und zuwarten? Ich habe in der letzten Zeit nichts geändert oder nachträglich installiert.

Ich wüsste nicht wie ich das eingrenzen sollte. Ich nutze nicht viele Services die von außen erreichbar sind. Diese sind "nur":

VPN (Standard Paket), Minecraft Server (Docker), Plex (Standard Paket) und die Cloudstation als Backup Ziel (diese macht aber nur Montags Nachts ein Backup)

Es ist immer nicht so viel und belastet die Leitung nur ganz kurz mit 2,5-25 Mbit.

Vielleicht weiß ja einer von euch Rat

grüße

Paule

 

[Monacum]

Nutzt du CloudSync oder HyperBackup mit Cloud-Speicher?

 

[starpvtpaula]

oh Also Hyperbakcup auch und Cloudsync auch aber zu dieser Zeit sind keine Clients online oder im LAN Verfügbar, sorry hatte ich vergessen

 

[Monacum]

Die beiden Programme verbinden sich aber immer mal wieder mit den Zielen, um deren Erreichbarkeit sicherzustellen, auf andere Clients im Netzwerk kommt es da nicht an.

 

[starpvtpaula]

aber sie würden niemals so einen Peak an Traffic generieren vor allem nutze ich das alles seit Jahren und habe dieses Verhalten noch nie beobachtet. In den Logs sind diese Ausschläge nicht zusehen vorher das geht jetzt 2 Tage so.

Selbst bei wirklich nur 1 Sekunde Last und einem Durchschnitt von 15 Mbit ist das way to much für dieses Dienste nur um ein Responsecheck durchzführen

 

[maxblank]

Wireshark ist hier das Tool, welches dir hilft.
Die Analyse ist aber nicht trivial.

https://www.wireshark.org/

 

[Ulfhednir]

Mit Werkmitteln kommst du hier mutmaßlich nicht weiter. Du müsstest hier ein kompletten Traffic-Capture starten oder mal versuchen das eigentliche Ziel zu identifizieren. Zum Bleistift könntest du hierfür ein pi-hole aufsetzen und die angesprochenen Domains auswerten. Hilft dir nur nicht, wenn hier eine direkte IP angesprochen wird.

Hier wäre vielleicht noch etwas:
https://www.synology-forum.de/threads/netzwerkverkehr-aufzeichnen.49140/

 

[starpvtpaula]

Hm laut Pihole wird ien Haufen google.com Anfragen rausgeschickt diese kommen von meiner Firewall weil ich anfrage die ausm netz an den Piholes vorbei gehen würden umgebogen habe das die auf die Firewall aufschlagen und von da dann wieder über die Piholes laufen.

der Spike im Traffic ist in einem 5 min Zeitfenster, ob mans glaubt oder nicht in 5 min passiert selbst in einem ruhigen LAN sehr viel lel

laut Pihole fragt die DS diverse Speedtest Domains ab

 

[starpvtpaula]

omg ich habs gefunden... ich hatte einen Smokeping Docker testweise installieren wollen, wurde unterbrochen beim Installieren und musste weg und hab ihn EIGENTLICH deaktiviert. Dann ist das Rätsel gelöst... Sorry