[Frage] Ominöse Traffic-Anzeige mit "iftop -i adsl"

[u.g]

Hallo,

nach ein paar Jahren Pause beschäftige ich mich mal wieder mit Freetz und habe meiner 7390 freetz-devel-13055 gegönnt.
(Signatur wird noch aktualisiert.)

Momentan teste ich gerade iftop. Wenn keinerlei (mir bekannter) Traffic im Netz läuft und ich dann mit "iftop -i adsl" auf dem adsl- statt dem dsl-Interface lausche,
wird mir folgendes angezeigt:

56.157.115.230             => 156.199.166.187               0b   1.80Kb  5.85Kb
                           <=                               0b      0b      0b
255.255.255.255            => 156.199.166.187               0b    614b    154b
                           <=

56.157.115.230 gehört zum "United States Postal Service" und 156.199.166.187 zum "African Network Information Center" und ist auf Mauritius. :crazy:
Mit iptraf wird mir dieser Traffic nicht angezeigt.

Was ist das für ein Traffic? Ist die Anzeige korrekt? Ist "adsl" einfach "nur das falsche Interface" und "dsl" das richtige,
denn wenn ich z.B. den Aufruf einer Webseite überwachen will, klappt dies nur mit "dsl"? Dabei steht meine IP dann links.
Da meine IP in obiger Anzeige aber nicht auftaucht, schliesse ich daraus, dass die auch nicht an dem Traffic beteiligt ist, oder?
Nur warum wird mir das dann angezeigt und warum nur mit "iftop -i adsl" und nicht mit "iptraf -i adsl"?
Kann einer Licht ins Dunkel bringen? Ist das bei euch auch so? Oder habe ich "Eindringlinge" o.ä.?
(Wird die DSL-Verbindung getrennt und neu aufgebaut, ist kurz danach die ominöse Anzeige wieder da.)

 

[PeterPawn]

Liegt an der falschen Interpretation von Paketen durch iftop ... meiner Meinung nach arbeitet iftop anhand von "captured packets" (also mit libpcap.so als Quelle und nicht auf der Basis irgendwelcher Zähler, die ja nur eine Gesamtsumme und keine Aufschlüsselung nach Zielen erlauben würden) und das "adsl"-Interface benutzt einen "unknown link type" (siehe "ip a" und dort dann "dsl" (das ist PPP- bzw. genauer PPPoE-Encapsulation) im Vergleich zu "adsl" mit "link/[19]").

Damit werden die Pakete falsch interpretiert. Mach einfach mal ein "tcpdump" mit w-Option und sieh Dir die dabei aufgezeichneten Daten "raw" an ... dann wirst Du bei diesen Paketen zusätzliche Header sehen (welche das am ADSL-Anschluß letztlich sind, weiß ich nicht, ich würde auf irgendwelche Zusätze zum Leitungsmanagement zwischen DSL-Modem und AC tippen (u.a. Interleaving und ECC-Felder), ist aber nur geraten und geht davon aus, daß sich hinter "dev adsl" wirklich schon der komplette Bitstream zum DSLAM verbirgt) und die Dissectoren von iftop suchen dann die IP-Adressen an falschen Stellen im Paket. Die angezeigten Adressen sind also nur Bullshit, der sich aus der Interpretation irgendwelcher (mehr oder weniger zufälliger) Daten an diesen Stellen ergibt.

EDIT: Ok, Du hast Deine Frage(n) erweitert/bearbeitet, damit paßt es nicht mehr so richtig mit der Antwort ... ich lasse sie trotzdem stehen, weil sie den Unterschied zwischen "dev dsl" (das ist die "Routing-Schnittstelle" der FRITZ!Box, also das WAN-Interface so wie es das Linux der Box sieht) und "dev adsl" zumindest beim Paketaufbau erklären kann. Der Unterschied zwischen "iptraf" und "iftop" könnte dann in der Interpretation der Pakete liegen, wo "iptraf" wohl unbekannte Pakete nicht in die Anzeige mit aufnimmt, während "iftop" sie eben falsch interpretiert (ich nehme mal an, weil der "packet type" nicht richtig getestet wird, wobei man da über die richtige Vorgehensweise ja auch geteilter Meinung sein kann). Für ein "richtige Überwachung", ob und was da als Traffic über die Leitung geht, ist ohnehin ein Mitschnitt der Pakete und die nachträgliche Analyse mit Wireshark o.ä. der einzig zuverlässige Weg, solange man die Fehlerbehandlung der von Dir verwendeten Tools nicht überprüft hat und damit nicht weiß, wie diese mit nicht interpretierbaren/falsch interpretierten Paketen umgehen.

 

[u.g]

Vielen Dank, Peter, das ("Anzeige ist Bullshit") beruhigt mich schon mal.
Werde da demnächst evtl. noch weiter forschen.