[gelöst] Unerwartete DNS Requests

    openSUSE 11.1 aktuell mit KDE4.4 rc1, Firefox V3.5.7

    Hi zusammen,

    weiss auch nicht, wann genau ich mir das eingehandelt habe, aber seit ein paar Tagen fällt mir auf, dass mein Netzwerk ständig aktiv ist, obwohl ich keine Programme in diesem Sinne gestartet habe (kein Firefox/Thunderbird, nepomuk, yast update beendet, lediglich ein Netzwerk-Auslastungs-Plasmoid). Mache allerdings täglich Updates von den KDE Repositories KDE4 Factory+Playground.

    Mit Wireshark sehe ich ständigen DNS traffic zwischen meinem PC und dem Router. Es werden im Prinzip ständig die gleichen domain names abgefragt:
    http://www.quality.channel.de
    http://www.southwest.com
    video.google.de

    Warum poste ich das hier in diesem Forum?

    Zusätzlich zu den genannten urls sehe ich auch welche, die semantisch "in der Nähe" von Seiten sind, die ich zuvor noch mit dem Firefox besucht hatte. Beispiel: Hatte einen Filmtitel gesucht und sehe DNS Requests zum Auflösen von http://www.filmz.de, nachdem FF bereits beendet ist. Die Seite selbst hatte ich allerdings nicht besucht.

    Klar bin ich beunruhigt. Kann irgend jemand was dazu sagen? Oder selbst mal nachsehen, ob ähnliche Effekte vorliegen?

    Falls jemand weiss, wie ich den auftraggebenden Process feststellen kann, wäre ich auch für diesen Tipp dankbar :)

    Der Versuch mit netstat -ps|grep tcp hat leider nix geliefert.

    Einmal editiert, zuletzt von gorgonz (13. Januar 2010 um 00:52)

    Hallo und Willkommen im Forum.

    Frage 1: was ist ein Netzwerk-Auslastungs-Plasmoid? Könnte dieses Dings nicht für diese Anfragen verantwortlich sein?
    Frage2: tritt das Problem auch gleich nach dem Rechnerstart auf, bevor Firefox überhaupt gestartet ist? Wenn Ja, hat es mit Sicherheit nichts mit Firefox zu tun.
    Frage 3: laut Deinem Thread in einem Linux-Forum wäre KDE4.4 noch eine Beta-Version (wahrscheinlich mittlerweile RC1). Könnte es damit zusammenhängen (Sorry, wenn die Frage blöd klingt, ich bin kein Linux-Anwender)?

    Zitat von Road-Runner

    wäre KDE4.4 noch eine Beta-Version (wahrscheinlich mittlerweile RC1)

    Stimmt, in 10 Tagen wird es RC2, und es könnte durchaus damit zusammenhängen.

    Zitat von Road-Runner

    Sorry, wenn die Frage blöd klingt, ich bin kein Linux-Anwender

    Klingt nicht blöd, und: was nicht ist, kann ja noch werden.

    Zitat von Road-Runner

    was ist ein Netzwerk-Auslastungs-Plasmoid?

    Ein Plasmoid, das u. a. die Netzwerkauslastung anzeigt, Näheres zu "Plasma" und "Plasmoiden" hier: http://wiki.ubuntuusers.de/Plasma/KDE_Arbeitsfl%C3%A4che

    sorry, dass es mir der Antwort etwas gedauert hat. Also Deine Fragen waren erstklassig, roadrunner, und haben mir sehr geholfen, um das Problem einzugrenzen. Danke an dieser Stelle! Hier die Ergebnisse:

    - Direkt nach dem Booten sind noch keine Einträge da
    - Wenn ich FF starte und wieder beende ist auch alles ok
    - Analog beim Thunderbird (nur zur Sicherheit)
    - Jetzt wieder den FF gestartet und eine Seite aufgerufen

    Peng, jetzt passiert es.

    Ich beschreibe das mal so: Auf dieser Seite gibt es diverse Links und auch google.analytics Sachen. Ab diesem Moment werden die DNS Anfragen regelmäßig durchgeführt - auch wenn ich den FF beende. Ja selbst dann noch, wenn ich den Benutzer auslogge und wieder anmelde. Erst ein richtiger Boot beendet den Spuk. Die Seite selbst ist übrigens egal, es geht nur um Links (oder ähnliche Infos), die darauf vorkommen.

    Bei so einer Beschreibung denke ich natürlich erstmal an irgendeinen Indexdienst. Bei den Addons läuft auch einer (Beagle), den ich aber nicht deinstallieren kann. Aber der müsste doch beendet sein, wenn FF beendet ist, oder?

    Hoffe, dass ich damit auch etwas für alle beitragen konnte.

    KDE hatte ich selbst auch als erstes im Verdacht, aber ich denke, die Jungs sind ab jetzt erst mal draussen.

    Was ich da gesehen habe, ist natürlich nur zu sehen, wenn man wirklich ein Sniffer Tool wie den wireshark startet. Es könnten also mehrere von Euch genauso betroffen sein - selbst unter Windows ;)

    Zitat

    Bei den Addons läuft auch einer (Beagle), den ich aber nicht deinstallieren kann. Aber der müsste doch beendet sein, wenn FF beendet ist, oder?

    Ist das dieses Ding? Das ist dann ein Plugin und keine Erweiterung. Das heisst, das Tool hat sich in Firefox (und / oder Thunderbird?) eingebunden. Nur, wie Du es unter Linux aus Firefox heraus bekommst, weiss ich nicht. Ich habe nur diesen Link gefunden:

    How to remove beagle and all its data ? (unten auf der Seite).

    Ich kann auch nur empfehlen, Beagle zu deinstallieren und zu testen, ob es daran gelegen hat. Ansonsten bin ich mangels Kenntnisse in Linux hier raus.

    Zitat von Road-Runner

    Nur, wie Du es unter Linux aus Firefox heraus bekommst, weiss ich nicht.

    Wenn es nichts Neueres als die 0.3.3 ist, dann über die Paketverwaltung, ansonsten, wie Du schon richtig gesehen hast, gemäß der Anleitung auf der Projektseite (Du wirst doch noch ein Linux-User). Im übrigen: es ist nicht in FF drin, sondern im Linux.

    @ TE:
    wo hast Du denn dieses Beagle her? War das in der Installation dabei? Oder hast Du es nachträglich installiert? Dann weißt Du doch, wie Du es deinstallierst (so oder so).

    @ roadrunner:
    http://wiki.ubuntuusers.de/Beagle

    Zitat von gorgonz

    (Beagle), den ich aber nicht deinstallieren kann. Aber der müsste doch beendet sein, wenn FF beendet ist, oder?

    Natürlich nicht, Beagle hat mit FF nämlich überhaupt nichts zu tun (sh. auch meinen Link über Beagle @ roadrunenr).

    Das mit dem Beagle hab ich jetzt mal genauer nachgesehen. Roadrunner: ja, das ist "dieses" Ding. beagle-settings gibt es auf meiner distro, ist aber gegenwärtig nicht installiert. Die Version des "Addins" (bei mir ist es halt nicht unter Plugins, sondern unter Erweiterungen) ist 1.1 und läuft eigentlich garnicht, weil die Version als inkompatibel zu FF 3.5.7 genannt wird. Ich selbst hatte den nie aktiv installiert. Der tatsächliche Indexdienst auf meinem Linux heisst nepomuk. Den hatte ich natürlich schon deaktiviert, aber ich hab nicht getestet, ob er vielleicht erst nach einem Boot wirklich deaktiviert ist ;) Das muss ich noch nachholen. Bin jetzt erstmal erleichtert, dass ich wohl keine Malware an Bord habe.

    <schnipp> muss nochmal ein anderes Stichwort ansprechen. Da ich am Anfang das ganze Thema überhaupt nicht eingrenzen konnte (und auch etwas Panik geschoben habe), habe ich in insgesamt 3 Richtungen gesucht und auch gepostet: Linux, KDE und Firefox.

    Das wird natürlich nicht gerne gesehen, aber ich habe mich drum gekümmert, die Ergebnisse jeweils zu spiegeln. Nun habe ich erfahren, dass es sinnvoll ist, auch die Links zu den anderen Einträgen bekannt zu machen und das mache ich natürlich:

    KDE-Forum: http://forum.kde.org/viewtopic.php?…43536#p143536ka
    Linux-club: http://www.linux-club.de/viewtopic.php?…=665270#p665270

    Zitat von gorgonz

    Die Version des "Addins" (bei mir ist es halt nicht unter Plugins, sondern unter Erweiterungen) ist 1.1 und läuft eigentlich garnicht, weil die Version als inkompatibel zu FF 3.5.7 genannt wird.

    1. heißt es Addons, nicht Addins. 2. Das Beagle, das roadrunner und ich meinen, das gibt es nicht in einer V ersion 1.1, die derzeit aktuelle Version von Beagle ist 0.3.9 (?), die sind überhaupt noch nicht bei der Version 1. Und das Beagle, das roadrunner und ich meinen, das ist ein Indexdienst.

    ich kann Dir nur empfehlen, den Links zum UU-Wiki, die ich bereits gepostet habe, nochmals nachzugehen. Da stimmt irgendwas nicht bei Dir (also ich meine natürlich bei deinem Computer).

    also beagle als Paket ist jetzt deinstallliert. das mit der Version ist möglicherweise anders als beschrieben. Im YaST stand er wirklich mit 3.8.x drin, aber das Add*on* hat möglicherweise eine eigene Versionierung und steht halt bei 1.1. Das Ding ist sicher faul, weil alt. Ich befürchte, das habe ich mir durch Updaten auf FF3 als Leiche eingehandelt. Habs auch nicht im Ordner extensions gefunden. Weiss auch nicht, wie ich diese Leiche wieder los werde, aber die kann eigentlich nix ausmachen.

    In dem UU Artikel wird beschrieben, wo beagle deaktiviert werden kann. Stelle hatte ich gefunden, deaktiviert aber den nepomuk, allerdings nicht die dns requests :(

    War mir gestern eigentlich sicher, dass die Lösung bei FF zu finden ist, weil die Stichworte/urls von dort zu kommen scheinen, aber inzwischen bin ich da nicht mehr so überzeugt. In der KDE Anfrage wurde ich gebeten, ein netstat Kommando abzusetzen und zu posten. Dadurch bin ich auf einen mir vollkommen unbekannten Daemon nscd gestoßen. Der cached ns-Informationen, das ist ja auch sowas wie ein Indexer. muss ich aber morgen weiter machen ...

    Zitat

    ich kann Dir nur empfehlen, den Links zum UU-Wiki, die ich bereits gepostet habe, nochmals nachzugehen. Da stimmt irgendwas nicht bei Dir (also ich meine natürlich bei deinem Computer).

    Danke für den Zusatz ;)