Am Donnerstag 12 August 2004 13:53 schrieb Thilo Gramlich:
Hallo!
Am Donnerstag, 12. August 2004 13:08 schrieb Matthias Houdek:
Das erste Paket ist eine DNS-Anfrage (UDP 53) von einer externen IP an eine externe IP.
Die mit dem/einem Mailserver identisch ist?
Sehen alle aus wie T-Online-Einwahlnummern, da kann man das nicht eindeutig sagen. Aber ich weiß schon, worauf du hinaus willst. Klappt aber nicht (hab ich aber auch shcon dran gedacht). Wie gesagt, die Source-IP ist ja meine alte und das Packet kommt ja auch von lokal (sonst würde es ja keine Verbindung aufbauen.
Ich hab mich jetzt erst mal damit geschützt, dass IP-Tables nach einem Verbindungsabbau Pakete von der jeweils alten IP der ISDN-Karte dropt.
Das ist zwar auch wirksam, aber sicher nicht die perfekte Lösung.
Ebend. Aber zumindest spart es erst mal Kosten. Ich hab auch schon mit einem neuen chkrootkit das System gecheckt, jetzt werd ich mir mal von Hand aus alles, was mit ISDN im Zusammenhang steht, etwas genauer ansehen. Einiges hab ich mir schon ein wenig genauer angesehen. Das erste Packet ist nur manchmal eine DNS-Anfrage. Meist ist es eine Netbios-NameQuery (UDP 137). Deshalb hab ich da auch gar nicht weiter was drauf gegeben, denn die kommen ja nach einer Einwahl regelmäßig *g*. Nur weiß ich nicht, wodurch die generiert werden (noch dazu mit der Absender-IP). -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu