Ich habe einen PIHole im Hintergrund am Laufen, welcher seit einem Jahr auch perfekt funktionierte.

Das Problem ist, dass ich seit Wochen / vielleicht Monate nun starke Netzwerk Probleme habe, wo selbst ein paar hundert KB/s Download ein Youtube-Video/Stream im Hintergrund völlig zu Nichte macht.
Daraufhin habe ich mit Wireshark rumgeforscht und merke, dass mein Rechner bei jedem Seiten-Aufruf etliche Packete sendet, mit dem selben SYN Packet aber etlich iterierenden ACK Packeten. Klar ist das eigentlich normal aber nicht bei so einer Anzahl. Flooded mein eigener Rechner ? Ist das Kabel schuld?
<-- Geht noch deutlich länger
Ich habe bereits mit Bitdefender mehrere FullScans (über mehrere Wochen / nicht am selben Tag) getätigt und kein einziger Virus, Malware etc... notierbar. <- RAT, sodass selbst Bitdefender Nichts erkennen kann?

Zu dem zeigt mein Android Gerät nun bei jedem WIFI Connect an, dass eine schlechte oder eingeschränkte Verbindung besteht, obwohl ich 1-2m vor'm Router stehe

Um das Problem genauer zu schildern: Im Hintergrund läuft ein Stream. Ihr öffnet Seite XYZ in einem anderen Tab (z.B suche auf DDG, Google, Yahoo etc..). Der Stream im Hintergrund, stockt massiv oder besser gesagt, stoppt komplett bis der Seiten-Aufruf "fertig" ist, oder man den Tab schließt. Die Auflösung macht keinen Unterschied. Das Problem taucht lustigerweise aktuell nicht auf (Vielleicht wurde der Eindringling mit diesem Post achtsam. Gestern Abend war die Lage jedoch recht grottenhaft.

Mir gehen die Optionen aus. Ist das ein Windows Fehler? Netzwerk-Fehlkonfiguration? Genuis Trojaner? Stuxnet 2.0 ? PIHole (Laut deren Forum macht der Pi keine Probleme) ? Browser? ISP obwohl ich mit vollem Speed downloaden kann ? Router ? DSL-Kabel? Bitdefender => Infiziert ?

(Den Router habe ich bereits vor einigen mal zurückgesetzt, keine Veränderung).

Ich verwende für Risiko Tätigkeiten eine VM auf HyperV Basis, sodass der Host nicht infiziert wird <- Falls die Anwendung tatsächlich/überhaupt Malware ist. Zudem klicke ich nicht auf zufällige Ads, Fake Download Buttons oder merkwürdige Email Links etc...

Unten sind 2 Bilder, einer Domain die ich im Wireshark & Pi gefunden und blockiert habe, jedoch stellt es sich heraus, dass es sich hierbei um Letsencrypt handelt? Wieso dann der Auto-Download... (Keine Sorge, Download im VM)

https://prnt.sc/1xdhlsl 2. Bild, provider erlaubt kein DirectPreview?

1) Was hat ein langsamer Windows-PC mit dem pihole bitte zu tun?
2) Was soll uns der Screenshot von wireshark genau sagen?
3) Wieso soll das Kabel schuld sein wenn dein Rechner auf irgendeinem HTTPS-Server was macht?
4) Warum verschleierst du die IP mit der 51 am Anfang?
5) Was bitte sind "Riskiko Tätigkeiten" konkret und wieso muss es dafür HyperV sein?

Zitat:

Zitat von cosinus

1) Was hat ein langsamer Windows-PC mit dem pihole bitte zu tun?
2) Was soll uns der Screenshot von wireshark genau sagen?
3) Wieso soll das Kabel schuld sein wenn dein Rechner auf irgendeinem HTTPS-Server was macht?
4) Warum verschleierst du die IP mit der 51 am Anfang?
5) Was bitte sind "Riskiko Tätigkeiten" konkret und wieso muss es dafür HyperV sein?

Diese Antwort erschreckt mich jetzt. 5) Irrelevant für die Frage, dachte aber jemand würde sonst sagen "VM Escape".
4) Öffentliche IP Adresse -> wusste nicht mehr genau von wo oder für was die gilt aber habe sie dennoch aus Datenschutz oder sonstigen Gründen verschleiert. Macht auch keinen Unterschied, es ging nur um das Flooding.
3) Wie im Post geschildert, habe ich manchmal gar keine Packete erhalten. Dachte nicht, dass das nennen von möglichen Schwachpunkten, solch eine negative Haltung erzeugen würde.
2) Flooding? Dass irgendetwas mit den ACK Packeten wie vermutet nicht stimmt ? Oder doch alles im Grünen ist?
Wenn ich die Antwort dazu wüsste, hätte ich ja nicht gefragt, gar einen Screenshot hinzugefügt.
1) Namensauflösung? Flooding, Packete fliegen im Kreis herum? Falsche Konfiguration?, Was auch immer möglich wäre. Wie in 3) notiert, hätte ich nicht gedacht, dass das Nennen von potentiellen Schwachpunkten, Gedankenstützen oder einfach nur legitime Informationen bezüglich des Problems anzugeben, solch eine negative bzw. leicht passiv-aggressive Antwort auslöst.

Zitat:

Diese Antwort erschreckt mich jetzt. 5) Irrelevant für die Frage, dachte aber jemand würde sonst sagen "VM Escape".

Dann lies mal richtig. Ich wollte wissen was für riskante Dinge du da machst und wozu. Warum man dafür HyperV nutzt war eher nebensächlich.

Zitat:

4) Öffentliche IP Adresse -> wusste nicht mehr genau von wo oder für was die gilt aber habe sie dennoch aus Datenschutz oder sonstigen Gründen verschleiert. Macht auch keinen Unterschied, es ging nur um das Flooding.

Und ich bezweifle, dass das deine IP-Adresse ist. Klingt als hättest du irgendwo Halbwissen aufgeschnappt und das kommt nun dabei raus

Zitat:

solch eine negative bzw. leicht passiv-aggressive Antwort auslöst.

Das sind völlig normale neutrale Fragen gewesen. Wo und wie soll denn ein Helfer denn ansetzen, wenn du viel schreibst aber wenig aussagst? Und ich befürchte auch schon anhand deiner Reaktion wie der Thread weitergehen wird, denn du bist bei weitem nicht der erste der aus Halbiwssen oder Panik sich auf irgendwelche kruden Vermutungen stürzt und dann sich im Vorfeld schon auf die bösesten Schädlinge festgelegt hat.

VM -> Ghidra Reverse Engineering, Executable Scans etc.
Wireshark -> Natürlich ist das nicht meine eigene öffentliche IP Adresse. Die gehört wie im Post beschrieben einer Webseite. Macht ja auch sonst keinen Sinn eig. Lokale -> eig. Öffentliche.
Zudem, wie auch im Post beschrieben, macht es keinen Unterschied ob die Öff. IP dem Santa Claus, H&M oder Putin gehört. Es ging um die Anzahl.

Bevor du anderen mit Halbwissen und sonstigen abstruzen Anschuldigungen Knochen hinwirfst (welche invalide sind), solltest du vielleicht einen Gang runterschalten und in Ruhe kommunizieren. In Ordnung, wenn weitere Infos benötigt werden, frag einfach, kein Problem.

Zitat:

Zitat von reversenull

Zudem, wie auch im Post beschrieben, macht es keinen Unterschied ob die Öff. IP dem Santa Claus, H&M oder Putin gehört. Es ging um die Anzahl.

Wenn du eine öffentliche IP eines öffentlich erreichbaren Servers zensieren musst hast du da aber ziemlich wenig verstanden. Und auch nicht, dass es darum geht, dass Helfer nachvollziehen können um welche IP konkret es geht und warum ein angebliches flooding von dir Richtung des Servers über https geht.

Zitat:

Zitat von reversenull

Bevor du anderen mit Halbwissen und sonstigen abstruzen Anschuldigungen Knochen hinwirfst (welche invalide sind), solltest du vielleicht einen Gang runterschalten und in Ruhe kommunizieren. In Ordnung, wenn weitere Infos benötigt werden, frag einfach, kein Problem.

Wie wärs wenn du mal all meine Fragen beantwortest? Oder ist das mit den "riskanten Dingen" ein wunder Punkt, den du doch lieber unter dem Teppich kehren möchtest?

Dann auch bitte mal klarstellen welcher Rechner wann genau stockt, so wirklich geht das aus der ziemlich wirren Beschreibung nicht hervor.

Zitat:

Zitat von cosinus

Wie wärs wenn du mal all meine Fragen beantwortest? Oder ist das mit den "riskanten Dingen" ein wunder Punkt, den du doch lieber unter dem Teppich kehren möchtest?

Schreibt er doch:
Reverse Engineering mit Ghidra von was-auch-immer & Exe-Scans & etc.

Zitat:

Zitat von Yatagan

Schreibt er doch:
Reverse Engineering mit Ghidra von was-auch-immer & Exe-Scans & etc.

Wirklich ausführlich ist das aber nicht...
Ich denke ich bin jetzt hier aber raus, der Thread wird mir langsam zu anstrengend.