Hallo, Am Montag, 6. Dezember 2004 10:12 schrieb cle go:
Hi! ich versuche gerade mein tcodump file zu verstehen, da ein angriff auf mein system gestartet wurde. zeigen die folgenden zeilen den zugriff des angreifers auf mein system? bitte auch um eine kleine erklärung. (IP mit stern ist meine, die andere vom angreifer)
20:02:44.724810 IP 192.168.2.66.52713 > 192.168.*.*.telnet: S 216926679:216926
192.168.2.66 ist eine IP die im Internet nicht geroutet wird! Du hast im lokalen Netz also einen Rechner mit dieser IP runstehen. Von dort gehen Verbindungsversuche aus. Das kann ein versuchter Angriff (aus dem likalen Netz auf andere Rechner im selben Netz) sein. Kann aber auch sein, das da ein Programm versucht zu kontrollieren, ob bestimmte Dienste im lokalen Netz verfügbar sind. 'Überwachung'??? Versuch mal den Rechner mit 192.168.2.66 zu identifizieren und lass hören was für eine Kiste das ist...
20:02:44.725184 IP 192.168.*.*.telnet > 192.168.2.66.52713: S 3571314954:35713
20:02:44.725297 IP 192.168.2.66.52713 > 192.168.*.*.telnet: R 216926680:216926
danke für die hilfe
clemens
--------------------------------- Gesendet von Yahoo! Mail - Jetzt mit 250MB kostenlosem Speicher
viel Glück -- MfG Rolf Masfelder EMail: rolf.masfelder@nector.de