Hallo zusammen,

mein MBP 16'' mit M1 Max unter macOS 13.4.1 (c) macht seit kurzem Mucken, die ich nicht analysiert bekomme.

Symptom: plötzlich kann ich nicht mehr surfen, E-Mails abrufen oder via Slack/iMessage kommunizieren. Das Internet ist blockiert. Auch Server im Heimnetz sind nicht erreichbar.

- Häufigkeit: ca. 1x am Tag, meist Abends ab 18h
- Dauer variiert zwischen 18 und 35 Minuten
- nur in meinem Heimnetz (nicht im Büro)
- über LAN oder WLAN
- ist durch WLAN aus/an oder LAN Stecker ziehen/wieder einstöpseln unterbrechbar
- dhcp lease erneuern hat mal funktioniert. Keine Ahnung, ob das immer klappt.

iStat Menus zeigt während der gesamten Dauer 18-30 MB/s abgehenden Netzwerkverkehr 😬. Verursacher ist `kernel_task`.
TimeMachine oder andere Backup-Programme sind nicht aktiv.


* `lsof -i | grep -E "(LISTEN|ESTABLISHED)"` no response, liefert erst wieder Daten, nachdem die Verbindung unterbrochen wurde oder der Netzwerkverkehr vorbei ist.
* LuLu nichts hilfreiches
* `netstat` hat mir auch nicht weitergeholfen. Ich weiß aber auch nicht, worauf ich da achten soll.

Es beunruhigt mich etwas. Welcher Malwarescan ist empfehlenswert? Wobei: welche Malware ist so dämlich (auffällig) programmiert, dass sie bis zu 30 Minuten das Netzwerk blockt und dabei ca. 45 GB Daten verschickt?

Habt Ihr irgendwelche Ideen zur Analyse oder sollte ich einfach mal auf Verdacht meinen Rechner neu aufsetzen?

Vielen Dank

Man kann mit WireShark der Netzwerkverkehr mitschneiden. Man sieht dann zumindest wohin die Pakete verschickt werden. Die Inhalte lassen sich auch erfassen, aber das setzt voraus, dass das nicht verschlüsselt ist.

Ich habe mal nach kernel_task traffic gegurgelt. In den Apple-Foren gibt es Meldungen. Vielleicht hilft auch das hier zur Aufklärung: https://www.macwelt.de/article/973103/systembremse-erklaert-wenn-kernel-task-das-system-bremst.html

Wird dieser massive Traffic auch auf deinem Router angezeigt (also geht er ins Internet, oder bleibt er im lokalen Netz)?

Gibt es Einträge (z.B. über neue Adressen/Geräte, etc.) im Log deines Routers, wenn das passiert?

Benutzt Du ev. iCloud Sync (die Synchronisation bestimmter in Ordner in die iCloud)?

Eventuell könnte auch LittleSnitch bei der Analyse helfen.

Das wäre sehr ungewöhnlich. Hat macOS das bestätigt? Normalerweise schaut man in dem Fall unter "Dienstprogramme > Aktivitätsanzeige > Netzwerk" nach, schaltet auf "Darstellung > Alle Prozesse" und sortiert rückwärts nach "Gesendete Bytes".

Hallo zusammen, interessante Ideen:

Wireshark muss ich mir mal anschauen, bei anderen Problemen habe ich da aber immer nur Bahnhof verstanden.
der Artikel behandelt hohe CPU Auslastung. Das ist kein Problem, die CPUs langweilen sich (so wie meistens).
Interessant: mein Bild von oben zeigt ca. 30min mit über 20MB/s 36GB in diesen 30 Minuten. Mein Router hat gestern (innerhalb von 24h) nur 1,2 GB outgoing dokumentiert. D.h. das ganze bleibt tatsächlich erst mal im Netz.
Wenn ich so drüber nachdenke: Mein Upload gibt das gar nicht her. Da ist bei 52MBit/s (also 6,5MByte/s) Schluss. Fritz Box Logging ist leider ziemlich unbrauchbar
iCloud Drive nutze ich, allerdings liegen da nur 368 MB drin. Fotos wird hoffentlich niemals komplett synchronisiert. Und selbst dann sollte der Traffic mit niedriger Prio laufen und nicht alles andere blockieren. Und wie auf Deine erste Frage hin festgestellt, bleibt der Traffic scheinbar im lokalen Netz.
Little Snitch schau ich mir auch nochmal an.
mit anderen Worten: evtl. zeigt iStat Menus Mist an. Leider hab ich den Rechner schon neu gestartet, so dass die Aktivitätsanzeige zurückgesetzt ist.

Vielen Dank euch allen erst mal, da hab ich was zum Prüfen beim nächsten Mal.

Ein paar News von diesem Problem, nachdem es eben wieder aufgetreten ist:

1. die Aktivitätsanzeige ordnet den Verkehr `kernel_task` zu

2. der Verkehr bleibt im Netzwerk (lt. Fritz!Box Monitoring)
3. Wireshark hat 11,25 GB (von 30GB) mitgeschnitten. Das habe ich etwas spät gestartet.

8,15 Mio Pakete wurden aufgezeichnet, 99,6% zwischen meinem MacBook Pro und meinem Synology Router.

In meinem Netzwerk nutze ich
a) eine Fritz!Box 6591 Cable (DHCP, DNS, Kabelzugang, kein WLAN)
b) einen Synology 2600AC Router (konfiguriert als WLAN-AP).

Am Synology Router hängt auch eine Time Machine USB-Platte. Zu den fraglichen Zeitpunkten waren keine Time Machine Prozesse aktiv (lt. Systemeinstellungen und Aktivitätsanzeige).

Wireshark Analyse
Die Summierung der Prozentwerte hinterlässt Fragen, aber der Spur nach passt das augenscheinlich.

Wireshark > Statistics > IPv4 > Destinations and Ports
Auf dem Router wurde während der ganzen Aufzeichnung ausschließlich Port 548 genutzt. Wieder die 89,1% von oben. Port 548 ist wohl der AFP Standardport.
Auf dem MacBook Pro 98,50% auf Port 49619 (dynamisch allokiert?)

Der Syno Router erlaubt TimeMachine nur via AFP, aber da scheint ein Wurm drin zu sein. Um das zu erhärten, werde ich die Platte mal abstöpseln und schauen, ob das Problem dann auch verschwindet.
Parallel suche ich mal nach bekannten AFP Bugs bei Synology.

Das klingt erst mal nach einem konkreten Verdacht, daher vielen Dank an alle Tippgeber! Hab ich mal wieder was über Wireshark lernen dürfen.

Das stimmt vielleicht gar nicht. Die Weboberfläche hat im Bereich "Mac Dateidienst" nur TimeMachine-bezogene Controls. Evtl. funktioniert TM auch via SMB auf dem Syno Router.

OK, das kann passieren, wenn der Netzwerkverkehr über einen USB-basierten Ethernet-Adapter läuft. Hier kann der tatsächliche Verursacher des Datenverkehrs nicht direkt angezeigt werden. Ist das der Fall?

Ob Time Machine den Verkehr verursacht, müsste man über die Finder-Seitenleiste oder die Anzeige in den Systemeinstellungen leicht sehen können.

und für Freunde des Terminals bietet sich diese Eingabe an:

Ich habe ebenfalls den Router RT2600ac. TM funktioniert nur mit afp. Bei Aktivierung wird der Link angegeben (afp://SynologyRouter.local). Eigentlich finde ich TM über den Router sinnvoller als über das Synology-NAS (wenn schon nicht direkt am Gerät)

Der Router hat eine "Verkehrsüberwachung". Damit wird für jedes Gerät und Anwendung der Internet-Datenverkehr aufgezeichnet. Nicht sehr detailliert, aber in Bezug auf die Ausgangsfrage (iStat Netzwerkverkehr) hätte schon beantwortet werden können, was extern ist.

Indizierung der Platte am Router?

Ich hatte das Problem sowohl mit USB-C Ethernet Adapter als auch via (integriertem) WLAN.
In der Finder Seitenleiste, in den Systemeinstellungen und auch in der Menüleiste rechts war aber jeweils definitiv keine TimeMachine Aktivität zu sehen.

schau ich mir nächstes Mal an

Hm. Ich prüfe nachher mal, ob da was am Router einstellbar ist, aber ich glaube nicht. Außerdem sollte das ja keinen Netzwerkverkehr zum Mac machen.
Am Mac direkt habe ich die Platte nicht (als Netzlaufwerk) eingebunden. Wie könnte es da zu einer Indizierung kommen, die mir das Netzwerk volllaufen lässt?

Geht mir auch so. Mein Synology-NAS (DS418play) läuft nur, wenn ich es brauche. Der Stromverbrauch, die Hitzeentwicklung und der Lärmpegel sind im meinem Setting inakzeptabel.
Schade, dass TM nur mit AFP funktioniert. Mit dem NAS sollte es auch via SMB funktionieren (Syno Knowledge Base), zum Router habe ich aber auch noch nichts gefunden.