ubuntuusers.de

Hallo! Bei meinem Router kann ich sehen, dass der Upstream total ausgelastet ist, auch wenn es keinen Downstream gibt. Ich habe am Router Datenpakete mitgeschnitten, mir ist als erste bei Wireshark nur folgendes aufgefallen. Ich kenne mich mit Wireshark auch nicht aus.

	0.001912	88.74.xx.xxx	216.58.214.42	TCP	1502	[TCP segment of a reassembled PDU]

Was kann ich mittels Wireshark tun, um das Problem näher einzugrenzen? Was müsste ich hier Posten, damit Fachleute mir weiterhelfen können?

Da es sich bei dem betroffenen Rechner um ein MacBook handelt und keinen Linuxrechner, geht es mir auch nur um die Analyse des immensen Datenverkehrs. Auf dem betroffenen Rechner läuft manchmal Netflix. Wird Wlan unterbrochen, so hört der Upstream auch für kurze Zeit auf, um dann wieder voll loszulegen nach 1 bis 5 Minuten. Und das ganze mit fast keinem Downstream.

Ab und zu sind auch solche Pakete dazwischen:

387	4.289694	88.74.xx.xxx	31.13.92.36	TCP	84	[TCP ACKed unseen segment] 50155 > https [ACK] Seq=2301 Ack=3078 Win=4021 Len=0 TSval=861591632 TSecr=520373287
390	4.265448	88.74.xx.xxx	216.58.214.42	SSLv2	1502	Encrypted Data
483	5.275709	88.74.xx.xxx	31.13.91.6	TLSv1.2	236	[TCP Retransmission] Application Data
660	7.084563	88.74.xx.xxx	216.58.214.42	TCP	1502	[TCP Out-Of-Order] 50234 > https [ACK] Seq=792153 Ack=1 Win=4116 Len=1418 TSval=861594363 TSecr=2390607747[Reassembly error, protocol TCP: New fragment overlaps old data (retransmission?)]

Zu PDU habe ih bisher folgendes gefunden:

A "PDU" is a "Protocol Data Unit." One unit of information being transferred in accordance with a given protocol (e.g., "login USERNAME very-long-base64-encoded-authentication-data" then wait for server to respond) will be disassembled into many packets (smaller pieces) if it's too large to fit in one packet (or segment in this case).

http://superuser.com/questions/255157/tcp-segment-of-a-reassembled-pdu

Momentan blockiert der Rechner mit diesen Paketen den Upstream komplett.

4182	14.809390	88.74.xx.xxx	188.98.247.22	UDP	272	Source port: 59910  Destination port: 57119
334	1.146671	88.74.xx.xxx	217.86.85.246	UDP	1040	Source port: 59910  Destination port: 62670
4122	14.565010	88.74.xx.xxx	31.16.152.70	UDP	976	Source port: 59910  Destination port: 49279
410	1.353276	88.74.xx.xxx	37.48.112.10	TCP	84	[TCP ACKed unseen segment] 51097 > http-alt [ACK] Seq=1 Ack=106945 Win=3174 Len=0 TSval=14233956 TSecr=525840106
594	2.027558	88.74.xx.xxx	41.136.191.38	UDP	944	Source port: 59910  Destination port: 61203
5246	19.173330	88.74.xx.xxx	5.146.128.85	UDP	912	Source port: 59910  Destination port: 61277
6530	23.032329	88.74.xx.xxx	52.85.173.29	TCP	84	[TCP ACKed unseen segment] 49560 > http [ACK] Seq=1265 Ack=66365 Win=130560 Len=0 TSval=513115092 TSecr=2019636581
147	0.433861	88.74.xx.xxx	54.231.134.90	TCP	1504	[TCP segment of a reassembled PDU]

Ich füge die ganzen Daten hier per copy und paste ein, da ich nicht weiss, wie ich eine ordentliche Logfile aus den Wiresharkdaten erstellen kann. Es gibt halt eine ganze Menge Daten bei Wireshark, und ich hab keine Ahnung, was benötigt wird.

Ich hab den Datenverkehr auch nur sehr kurz mitgeschnitten, an jede der IP-Adressen werden unzählige Pakete verschickt.

Der Eigentümer des Mac Books meint, dass Problem identifiziert zu haben: Bilder werden automatisch zu einem Googledienst hochgeladen, aber er habe die Funktion mittlerweile abgestellt. Das Problem der hohen Uploadlast des Rechners bleibt trotzdem noch bestehen. (Vielleicht etwas besser geworden)