xDSL.at

Hallo!
War heute bei einem Kunden der Probleme mit seinem PC hatte und beim Auswerten seiner Internetzzugriffe auf meine HP stellte ich fest, dass der Zugriff auf fast jedes Objekt der Seite (jpg, HTML-Element usw) mit einer anderen IP erfolgte im Range von etwa 195.3.113.130 bis 195.3.113.160.
Irgendwie blicke ich da nicht durch.
Der Kunde hat einen stinknormalen Speed-Zugang mit 1GB Datenvolumen.
Es wurde kein Proxy verwendet!
Das Phänomen habe ich heute auch bei anderen Zugriffen aus dem AON-Netz beobachtet.
Hier ein Ausschnitt aus dem Log:

Code: Alles auswählen: 2005-09-03 11:20:53 195.3.113.137 - 62.116.36.61 80 GET /wetter/Index.htm - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:53 195.3.113.137 - 62.116.36.62 80 GET /wetter/leer.html - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:53 195.3.113.155 - 62.116.36.61 80 GET /wetter/kopf.html - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:53 195.3.113.136 - 62.116.36.60 80 GET /wetter/aktuell.htm - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:53 195.3.113.137 - 62.116.36.61 80 GET /wetter/info.html - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:54 195.3.113.137 - 62.116.36.62 80 GET /wetter/aktuell.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:20:54 195.3.113.154 - 62.116.36.62 80 GET /wetter/aktuell.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:54 195.3.113.136 - 62.116.36.60 80 GET /wetter/6x6.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:20:54 195.3.113.155 - 62.116.36.60 80 GET /wetter/zu.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/clock.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/cal.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.61 80 GET /wetter/temp.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/hum.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/dewp.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/dayicon.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/n-nw.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/houricon.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.61 80 GET /wetter/rain.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/monthicon.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.61 80 GET /wetter/weekicon.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.61 80 GET /wetter/rainday.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/yearicon.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:10 195.3.113.155 - 62.116.36.60 80 GET /wetter/moon29.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:10 195.3.113.155 - 62.116.36.61 80 GET /wetter/current.html - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:10 195.3.113.154 - 62.116.36.62 80 GET /wetter/sun.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:10 195.3.113.137 - 62.116.36.61 80 GET /wetter/cal.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:10 195.3.113.137 - 62.116.36.62 80 GET /wetter/rainday.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:10 195.3.113.136 - 62.116.36.60 80 GET /wetter/dewp.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:10 195.3.113.137 - 62.116.36.61 80 GET /wetter/barom.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:10 195.3.113.137 - 62.116.36.62 80 GET /wetter/asun.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.136 - 62.116.36.60 80 GET /wetter/windc.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.155 - 62.116.36.61 80 GET /wetter/barom.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:11 195.3.113.154 - 62.116.36.62 80 GET /wetter/wind.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:11 195.3.113.154 - 62.116.36.62 80 GET /wetter/p_do.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:11 195.3.113.155 - 62.116.36.61 80 GET /wetter/windc.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:11 195.3.113.155 - 62.116.36.60 80 GET /wetter/asun.gif - 200 Mozilla/3.01+(compatible;) 2005-09-03 11:21:11 195.3.113.137 - 62.116.36.61 80 GET /wetter/n-nw.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.137 - 62.116.36.62 80 GET /wetter/rain.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.136 - 62.116.36.60 80 GET /wetter/houricon.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.137 - 62.116.36.61 80 GET /wetter/weekicon.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0) 2005-09-03 11:21:11 195.3.113.137 - 62.116.36.62 80 GET /wetter/sun.gif - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Hotbar+4.4.6.0)

H.

1. Der Kunde hat einen stinknormalen Speed-Zugang mit 1GB Datenvolumen.
den gibts schon seit 1 jahr nicht mehr
2. seit wann vergibt aon 195.3.113.* IP adressen an Privat-Kunden?
3. sieht mir das ganz einfach nach irgendso ner spyware aus oder so, die sich im browser eingenistet hat (oder direkt in windows)
4. dazu kommt:
2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/clock.gif - 200 Mozilla/3.01+(compatible;)
2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/cal.gif - 200 Mozilla/3.01+(compatible;)
warum wird für ein und den selben ordner ein anderer server genommen?

vielleicht ein automatischer proxyserver von aon ?

bei chello ist das auch so, wenn man im IE explorer den proxy.chello.at auswählt wird eine IP mit 195.xxx.xxx.xxx vergeben und die letzten 10 stellen ändern sich laufen, also bei jedem aktualisieren oder wenn man eine neue IE session aufmacht, denke er nimmt sich immer einen proxy der grad nicht zu überlastet ist ?

2. seit wann vergibt aon 195.3.113.* IP adressen an Privat-Kunden?

das ist ziehmlich sicher ein proxy server vom hoster, die meisten fangen in österreich mit 195.xxx.xxx.xxx an.

ist eine aon adresse.
von 195.3.60.* bis 195.3.200.* oder so gehört der Telekom Austria, aber ich glaub nicht, dass es für privatkunden genommen wird.
btw.
proxy.aon.at [195.3.96.249]

radditz hat geschrieben:1. Der Kunde hat einen stinknormalen Speed-Zugang mit 1GB Datenvolumen.
den gibts schon seit 1 jahr nicht mehr
2. seit wann vergibt aon 195.3.113.* IP adressen an Privat-Kunden?
3. sieht mir das ganz einfach nach irgendso ner spyware aus oder so, die sich im browser eingenistet hat (oder direkt in windows)
4. dazu kommt:
2005-09-03 11:21:08 195.3.113.155 - 62.116.36.60 80 GET /wetter/clock.gif - 200 Mozilla/3.01+(compatible;)
2005-09-03 11:21:08 195.3.113.154 - 62.116.36.62 80 GET /wetter/cal.gif - 200 Mozilla/3.01+(compatible;)
warum wird für ein und den selben ordner ein anderer server genommen?

Zu 1. Der Kunde Hat den Zugang schon länger als 1 jahr!
zu 4. Ist bei mir so, dass die 3 W2K3-Server im Cluster laufen und da hat jeder seine eigene IP und die Inhalte werden quasi gespiegelt!
H.

tszr hat geschrieben:
2. seit wann vergibt aon 195.3.113.* IP adressen an Privat-Kunden?

das ist ziehmlich sicher ein proxy server vom hoster, die meisten fangen in österreich mit 195.xxx.xxx.xxx an.

Leider kann ich von hier aus nicht sagen, ob irgendeine proprietäre Proxy-SW installiert ist.
Im Explorer war jedenfalls kein Hakerl beim Proxy!
H.

ist die funktion "automatische suche nach den einstellungen" auch deaktiviert ?

und hast du sicher im DFÜ netz nachgeschaut ?

und nicht in den LAN einstellungen in den verbindungen, die sind nämlich bei ADSL nicht wirksam sondern nur die reine DFÜ einstellung, wird auch oft verwechselt ! vielleicht steht dort der proxy drinnen ?

oder wird ein roterprogramm verwendet, dort könnte man auch eine proxyeintrag finden, zb. wie bei winroute, dann ist es im IE nicht zu sehen ! auch nicht im DFÜ netzwerk.

tszr hat geschrieben:ist die funktion "automatische suche nach den einstellungen" auch deaktiviert ?

und hast du sicher im DFÜ netz nachgeschaut ?

und nicht in den LAN einstellungen in den verbindungen, die sind nämlich bei ADSL nicht wirksam sondern nur die reine DFÜ einstellung, wird auch oft verwechselt !

Wie gesagt, so genau kann ich das von hier nicht feststellen. Dnke aber dass die Einstellungen in Ordnung waren! Wäre mir irgendwie aufgefallen!
H.

naja dann ist es vielleicht ein automatischer proxy der in machen gebieten geschaltet wird ohne das der kunde was einstellen muss, den hatte chello auch mal zwischen wr.neustadt und wien.

aber es haben sich zu viele darüber beschwert, weil zu langsam und jetzt ist er wieder weg.

tszr hat geschrieben:aber es haben sich zu viele darüber beschwert, weil zu langsam und jetzt ist er wieder weg.

Stimmt langsam ist die Verbindung schon. Werde morgen nochmal vorbeischauen und nachwassern was da wirklich läuft.
Der Kund hat da so einen obskuren Virenscanner von AON installiert, der die ganze Maschine oft mit 100% CPU einbremst. Vielleicht ist da auch ein versteckter Proxy drin!
H.

ja, ein automatisch geschaltener Proxy könnts auch sein, das geht oft sogar richtig in Windows rein, so dass alles übern proxy läuft.

sieht verdächtig nach einem proxy aus ...

Code: Alles auswählen: ~$ nmap -O 195.3.113.154 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-03 18:34 CEST Interesting ports on 195.3.113.154: (The 1658 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 21/tcp open ftp 23/tcp open telnet 113/tcp open auth 8080/tcp filtered http-proxy 8081/tcp open blackice-icecap Device type: web proxy Running: CacheFlow CacheOS OS details: CacheFlow CacheOS 3.1 on a model 6000 web proxy cache Uptime 45.322 days (since Wed Jul 20 10:51:47 2005) Nmap finished: 1 IP address (1 host up) scanned in 61.925 seconds

War heute nochmals bei dem genannten Kunden. Die Sache ist so: wenn der komische AON-Virenchecker aktiviert ist, wird ein Proxy dazwischen geschalten und vice versa. hab das Ding mal deinstalliert und Antivir dafür installiert! jetzt läuft wieder alles wie's sein soll!
H.

>Die Sache ist so: wenn der komische AON-Virenchecker aktiviert ist,
also wenn ich mir so das produktportfolio des herstellers dieses proxies anschau kommt mir das ding eigentlich ganz und gar nicht komisch sondern eher als recht brauchbarer virenschutz vor ... http://www.bluecoat.com/products/av2000/index.html

xDSL.at

Wechselnde IP-Adressen innerhalb einer Session bei AON?

Wechselnde IP-Adressen innerhalb einer Session bei AON?