* On Sat, 26 Jul 2003 at 10:30 +0200, Thomas Preissler wrote:
ich habe meine Firewall nun so angepasst, dass auch ausgehender Traffic (Chain OUTPUT) validiert wird. Aus diverse Gründen wird im Augenblick nur geloggt, es wird (noch) nichts geblockt. [...] Es wird versucht, den Port 2703 oder 7 bei den angegebenen DST-Adressen zu erreichen. Ein "telnet xyf.52.3.2 2703" zeigt interessantes...
Ja, was zeigt es denn? Ein bisl was musst Du schon verraten.
(Wäre es legal, da die komplette Zieladresse zu veröffentlichen?)
Keine Ahnung, versuch einfach mit whois und host ein bischen mehr darüber rauszufinden. Wenn da wer heimtelefoniert muss sich ja rauskriegen lassen, wer der Empfänger ist. Und schneide Dir den Traffic, der da geht einfach mit tcpdump mit.
Nun, das war der Hintergrund. Meine Frage ist nun:
Wie kann ich herausfinden, welches Programm sich versucht zu connecten? Der Connect ist zu selten, dass ich ihn mit "netstat -an" o.ä. rausfinden könnte. Meine Idee wäre es, diese Zieladressen via NAT umzubiegen und lokal einen Dummy-Dienst dafür zu schreiben, der das Programm warten lässt. Dann könnte man sogar "netstat -an" einsetzen.
Hört sich plausibel an. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at