Hallo Liste, kann mir mal jemand einen Tip geben, wie man die Ausgaben der Firewall entschlüsselt, damit man auch mal weiss was die vielen Zahlenkolonnen bedeuten? Wie man z.B. herausbekommt wer da versucht eine neue Verbindung aufzubauen, die die Firewall gerade wieder fallen gelassen hat (Drop new connect) u.s.w.? Google hat mich bis jetzt noch nicht weitergebracht, b.z.w. hab ich wohl wieder mal den richtigen Suchbegriff noch nicht gefunden. ;-) Oder ist das ganze so kompliziert, dass ich es lieber lassen sollte? Ansonsten kann ich nur sagen, das ich manchmal doch ein klein wenig schadenfroh bin, wenn man zum x-ten mal über irgendwelche Viren, Trojaner und vor allem Dialer hört, die sich's bei Windows gemütlich machen. Ach so, Dialer! Gibt es für die Dinger eigentlich eine Chance, sich unter Linux einzuklinken ? Gruß Thomas
Hallo Thomas, Dialer haben unter Linux keine Chance. Poste doch mal eine Ausgabe der SuSE Firewall und dann gucken wir mal :-) Viele Grüße, Sebastian -- Nur Pessimisten schmieden das Eisen, solange es heiß ist. Optimisten vertrauen darauf, daß es nicht erkaltet. - Peter Bamm, deutscher Schriftsteller (1897 - 1975)
[Sebastian Wolfgarten]:
Hallo Thomas,
Dialer haben unter Linux keine Chance.
... solange man nicht permanent als root arbeitet ;-) (Windows-Dialer natürlich überhaupt nicht - Linux-Dialer kenn ich nicht, aber wer weiß ...)
Poste doch mal eine Ausgabe der SuSE Firewall und dann gucken wir mal :-)
Jepp -- Gruß MaxX
Am Donnerstag, 22. Mai 2003 01:18 schrieb Sebastian Wolfgarten: Hallo Sebastian Vielen Dank schon mal für die Mühe!
Dialer haben unter Linux keine Chance.
Das hoffe ich doch stark! Deshalb benutze ich ja auch Linux, auch wenn mein Vater das Internet trotzdem noch verteufelt, weil er so oft etwas über Betrügereien mit Dailern u.s.w. in den Medien hört.
Poste doch mal eine Ausgabe der SuSE Firewall und dann gucken wir mal :-)
Du hast es nicht anders gewollt! ;-) ---------------- schnipp --------------- May 22 21:31:20 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:31:21 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17775 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:31:22 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=213.170.174.21 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17776 DF PROTO=TCP SPT=2732 DPT=1872 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402) May 22 21:39:17 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=37942 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:39:21 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=38102 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:39:22 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=80.14.212.124 DST=213.7.197.46 LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=38432 DF PROTO=TCP SPT=1573 DPT=1214 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402) May 22 21:51:12 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3069 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 21:51:13 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3075 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 21:51:14 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=217.83.135.92 DST=213.7.197.46 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=3084 DF PROTO=TCP SPT=1433 DPT=1214 WINDOW=16960 RES=0x00 SYN URGP=0 OPT (020405A00103030401010402) May 22 22:29:24 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=2900 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:25 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=51028 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:26 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=35669 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) May 22 22:29:27 linux kernel: SuSE-FW-DROP-NEW-CONNECT IN=ppp0 OUT= MAC= SRC=216.194.16.140 DST=213.7.198.7 LEN=44 TOS=0x00 PREC=0x00 TTL=118 ID=12630 DF PROTO=TCP SPT=2720 DPT=1433 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B4) ---------------- schnapp --------------- Das ist schon mehr als genug, deshalb muß natürlich nicht jede Zeile aufgedröselt werden, es genügt ja schon eine als Beispiel. Ich habe trotzdem mal mehrere Zeilen geschickt, damit man einen Überblick bekommen kann. Ich habe häufig noch mehr Meldungen. Gruß Thomas
Hallo Thomas, hallo Leute, Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:
[...]
So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-)
May 22 21:31:20 linux kernel: SuSE-FW-DROP-NEW-CONNECT
Die SuSE Firewall hat eine neue Verbindung abgelehnt.
IN=ppp0
Die Verbindung kam über das Device ppp0 herein (also das Internet)
OUT=
Als ausgehendes Device ist nichts angegeben.
MAC=
MAC ist die "Hardwareadresse" der Gegenstelle, wurde aber nicht mit übertragen bzw. geloggt.
SRC=213.170.174.21
Source-IP - von diesem Rechner stammt die Anfrage
DST=213.7.197.46
und dieser Rechner ist das Ziel (vermutlich Deine (dynamische?) IP)
LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF
Die Angaben sagen mir jetzt erstmal nix.
PROTO=TCP
Protokoll TCP (es gibt auch UDP, frag aber bitte nicht nach Details ;-))
SPT=2732
Quellport auf dem anfragenden Rechner
DPT=1872
Zielport auf dem Zielrechner (also bei Dir)
WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402)
sagt mir auf die Schnelle auch nix ;-)
Das ist schon mehr als genug, deshalb muß natürlich nicht jede Zeile aufgedröselt werden, es genügt ja schon eine als Beispiel.
Das hast Du oben. Interessant sind u. a. die Portnummern, deren Verwendungszweck steht entweder in /etc/services und/oder lässt sich oft auch per Google herausfinden (suchen z. B. nach "port <portnr> tcp" bzw. "port <portnr> udp") Es würde mich übrigens nicht wundern, wenn die Portnummern zu irgendeinem Filesharing- oder Chatprogramm gehören - das kommt des öfteren vor, wenn der Vorbesitzer der (dynamischen) IP ein solches Programm verwendet hat ;-) Gruß Christian Boltz -- ####################### Fontlinge Developer ####################### ### Fontlinge - Schriftenverwaltung für Linux ### ### Fontlinge 2.0 jetzt downloaden! #### http://www.gesindel.de ### ###################################################################
Hallo, On Sat, 24 May 2003, Christian Boltz wrote:
Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:
[...] So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-) [..] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF
Die Angaben sagen mir jetzt erstmal nix.
"LEN" = "Length" = Laenge (von was weiss ich aber auch nicht ;) "TOS" = "Type of Service" ("Art des Services"), darueber laesst sich mit QoS ("Quality of Service") z.B. die Bandbreite fuer einen TOS beschraenken usw. "PREC" ist vermutlich "Precision", k. Ahnung... "TTL" = "Time To Live" = "Lebenszeit" eines Paketes, in "Hops" gezaehlt. Ein "Hop" ist ein "Schritt" von einem zum naechsten Rechner. "ID" = "Identification", das ist wohl eine mehr oder weniger arbitraere Sequenznummer etc... Was das "DF" heisst weiss ich auch nicht. [..]
WINDOW=8760 RES=0x00 SYN URGP=0 OPT (0204021801010402)
sagt mir auf die Schnelle auch nix ;-)
Was WINDOW und RES sind weiss ich auch nicht (WINDOW hat irgendwas mit der Paketgroesse zu tun oder so). SYN ist das "SYN"-Bit im Status-Flag im IP-Header, d.h. das Bit, das den Versuch eines Verbindungsaufbaus anzeigt. IIRC laeuft ein TCP Verbindungsaufbau so ab: 1. Client -> SYN -> Server 2. Client <- SYN ACK <- Server 3. Client -> ACK -> Server Weitere Status-Bits sind z.B. das "ACK"-Bit ("ACK" = "Acknowledge"). "URGP" ist AFAIK was mit "Urgency"/"Priority". "OPT" sind wohl irgendwelche optionalen Flags.
Es würde mich übrigens nicht wundern, wenn die Portnummern zu irgendeinem Filesharing- oder Chatprogramm gehören - das kommt des öfteren vor, wenn der Vorbesitzer der (dynamischen) IP ein solches Programm verwendet hat ;-)
Ja. Mind. 1214 ist eines dieser laestigen Filesharing Proggies. -dnh -- Ah. Feeding pills to cats. I believe that I am the true master of feline-pill-administering. -- Lionel im the SDM
David Haller wrote:
On Sat, 24 May 2003, Christian Boltz wrote:
Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:
So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-)
LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF
Was das "DF" heisst weiss ich auch nicht.
Dont Fragment - Alle Router sollen das Paket in der Groesse nicht veraendern und notfalls halt nen ICMP Paket zurueckschiessen, das kleinere Pakete losgeschickt werden sollen. Peter
David Haller wrote:
On Sat, 24 May 2003, Christian Boltz wrote:
Am Donnerstag, 22. Mai 2003 23:10 schrieb Thomas Schiefelbein:
[...] So, dann "entschlüssle" ich mal die Meldungen der SuSE Firewall ;-) [..] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=17774 DF
Die Angaben sagen mir jetzt erstmal nix.
"LEN" = "Length" = Laenge (von was weiss ich aber auch nicht ;)
LEN: die Länge des Paketes.
Was das "DF" heisst weiss ich auch nicht.
DONT FRAGMENT.
Was WINDOW und RES sind weiss ich auch nicht (WINDOW hat irgendwas mit der Paketgroesse zu tun oder so).
WINDOW: TCP-windowsize. also die Menge an Daten, die der sender schicken darf, ohne auf ein ACK vom empfänger zu warten. der rest sollte in [1] zu finden sein. micha [1]
----- Original Message ----- From: "Thomas Schiefelbein"
To: Sent: Thursday, May 22, 2003 1:08 AM Subject: Ausgabe der Suse Firewall entschlüsseln
Hallo Liste,
kann mir mal jemand einen Tip geben, wie man die Ausgaben der Firewall entschlüsselt, damit man auch mal weiss was die vielen Zahlenkolonnen bedeuten?
Wie man z.B. herausbekommt wer da versucht eine neue Verbindung aufzubauen, die die Firewall gerade wieder fallen gelassen hat (Drop new connect) u.s.w.?
Google hat mich bis jetzt noch nicht weitergebracht, b.z.w. hab ich wohl wieder mal den richtigen Suchbegriff noch nicht gefunden. ;-)
Oder ist das ganze so kompliziert, dass ich es lieber lassen sollte?
Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln, und sogar bei bestimmten Situationen ein Skript ausführen, dass dir z. B.: eine E-Mail sendet, wenn etwas auffällig wird. http://cert.uni-stuttgart.de/projects/fwlogwatch/ Bye, Thomas
Am Donnerstag, 22. Mai 2003 09:17 schrieb Thomas Gräber: Hallo Thomas, vielen Dank für den Tip.
Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln,
Bin gerade dabei mir das Programm anzusehen. Ich bin neugierig, was das Programm alles kann. Gruß Thomas
On Thursday 22 May 2003 23:25, Thomas Schiefelbein wrote:
Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln,
Bin gerade dabei mir das Programm anzusehen.
Ich bin neugierig, was das Programm alles kann.
Ich schau es mir auch gerade an, aber bei der Installation läuft etwas schief. fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make flex -B -t cisco_ios.l > cisco_ios.c gcc -DHAVE_ZLIB -DHAVE_GETTEXT -pipe -O2 -Wall -c -o cisco_ios.o cisco_ios.c ... utils.o whois.o win_xp.o -lcrypt -lz rm cisco_ios.c ipfilter.c netscreen.c netfilter.c cisco_pix.c snort.c ipchains.c fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make install install -s -m 0755 fwlogwatch /usr/local/sbin/fwlogwatch install -m 0755 contrib/fwlw_notify /usr/local/sbin/fwlw_notify install -m 0755 contrib/fwlw_respond /usr/local/sbin/fwlw_respond install -m 0644 fwlogwatch.8 /usr/local/share/man/man8/fwlogwatch.8 install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8': No such file or directory make: *** [install] Error 1 fw:/usr/local/sbin # ls . .. fwlogwatch fwlw_notify fwlw_respond fw:/usr/local/share # ls . .. doc Gab es da *nur* Probleme mit der Manpage? Al
Hallo, On Fri, 23 May 2003, Al Bogner wrote:
fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make install [..] install -m 0644 fwlogwatch.8 /usr/local/share/man/man8/fwlogwatch.8 install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8': No such file or directory make: *** [install] Error 1 [..] Gab es da *nur* Probleme mit der Manpage?
Sieht so aus. Kann sein, dass anschliessend noch mehr kommen sollte. Schau mal nach, warum die Datei nicht installiert werden konnte. -dnh PS: du kannst mir auch ein .gz des kompletten logs mailen... -- Lusers annoy you; Backups are crap; Morons employ you; And samba won't map. Printers need cable; Installs restart; Servers aren't stable; You might as well LART. -- DPM in the SDM
On Saturday 24 May 2003 04:00, David Haller wrote:
Gab es da *nur* Probleme mit der Manpage?
Sieht so aus. Kann sein, dass anschliessend noch mehr kommen sollte.
Schau mal nach, warum die Datei nicht installiert werden konnte.
Ich vermute wie gepostet, deshalb: fw:/usr/local/share # ls . .. doc install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8' Oder sollte die fehlenden Verzeichnisse man/man8/ automatisch angelegt werden.
PS: du kannst mir auch ein .gz des kompletten logs mailen...
Danke, welches log meinst du? Die Ausgabe von make install war nicht mehr, von make war auch nicht sehr groß. Die Analyse der messages ist soweit klar, sofern da ein SuSE-FW-DROP-DEFAULT ist, interessiert mich das bei einer dynamischen IP (fast) und nur geschlossenen Ports nicht. Es sind fast immer dieselben Portscans. Nachdem alle Ports nach aussen geschlossen sind, würde es mich nur interessieren, wenn die FW überwunden werden würde oder für die paar Mal im Jahr, wo ich ssh aufmache, auch über die authorlisierte Logins eine Meldung zu erhalten.. Al
Al Bogner wrote:
fw:/usr/local/share # ls . .. doc
install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8'
Oder sollte die fehlenden Verzeichnisse man/man8/ automatisch angelegt werden.
Nur wenn das Makefile neu genug ist. Leg die Struktur fuer die manpages von Hand an. Was man auch probieren kann, ist dann den "make install"-Schritt mit dem Parameter "-k" zu ergaenzen -> "keep going", er wuerde die Manpage dann ueberspringen (Irgendwie nicht die beste Loesung) Peter
Hallo, On Sat, 24 May 2003, Al Bogner wrote: [..]
fw:/usr/local/share # ls . .. doc
install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8'
Dann mach folgendes vor dem Aufruf von 'make install' install -d -m 755 -o man -g root /usr/local/share/man/man8
Oder sollte die fehlenden Verzeichnisse man/man8/ automatisch angelegt werden.
Fehler im Makefile, normal sollten evtl. fehlende Verzeichnisse angelegt werden. -dnh -- "Remember, not all spammers are annoying..... Some are dead!" -- Rob Adams
Hi! On Fri, May 23, 2003 at 10:05:09PM +0200, Al Bogner wrote:
On Thursday 22 May 2003 23:25, Thomas Schiefelbein wrote:
Sieh dir mal fwlogwatch an, ist ein sehr interessantes Programm, der kann das etwas entschlüsseln,
Bin gerade dabei mir das Programm anzusehen.
Ich bin neugierig, was das Programm alles kann.
Ich schau es mir auch gerade an, aber bei der Installation läuft etwas schief.
fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make flex -B -t cisco_ios.l > cisco_ios.c gcc -DHAVE_ZLIB -DHAVE_GETTEXT -pipe -O2 -Wall -c -o cisco_ios.o cisco_ios.c ... utils.o whois.o win_xp.o -lcrypt -lz rm cisco_ios.c ipfilter.c netscreen.c netfilter.c cisco_pix.c snort.c ipchains.c
fw:/usr/src/packages/SOURCES/fwlogwatch-0.9.2 # make install install -s -m 0755 fwlogwatch /usr/local/sbin/fwlogwatch install -m 0755 contrib/fwlw_notify /usr/local/sbin/fwlw_notify install -m 0755 contrib/fwlw_respond /usr/local/sbin/fwlw_respond install -m 0644 fwlogwatch.8 /usr/local/share/man/man8/fwlogwatch.8 install: cannot create regular file `/usr/local/share/man/man8/fwlogwatch.8': No such file or directory make: *** [install] Error 1
fw:/usr/local/sbin # ls . .. fwlogwatch fwlw_notify fwlw_respond
fw:/usr/local/share # ls . .. doc
Gab es da *nur* Probleme mit der Manpage?
Ja. Ich setze fwlogwatch schon länger ein, das Problem gabs schon immer beim Übersetzen auf 'ner SuSE. Die wichtigen Teile von fwlogwatch, ein Binary und 2 Skripte, sind bis dahin installiert und fwlogwatch kannst du so benutzen.
Al
Ciao, Schöppi -- Christian Schoepplein | Beste Rockband der Welt: http://www.lily-rockt.de mail@schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de
Am Donnerstag, 22. Mai 2003 01:08 schrieb Thomas Schiefelbein:
Hallo Liste,
Dank an alle die sich hier beteiligt haben, es war/ist sehr interessant. Ich habe mir das Programm FWLOGWATCH angesehen, es hilft mir gut weiter und meine Neugier ist vorerst zu diesem Thema befriedigt. Übrigens noch ein Tip von mir! Da ich ja nicht ganz so bewandert mit der manuellen Installation bin, habe ich einfach die RPM Datei installiert, was absolut problemlos war. Ich hoffe allerdings, daß es nicht nur bei meiner SUSE 8.2 so einfach ist. Bis bald Thomas
participants (10)
-
Al Bogner
-
Christian Boltz
-
Christian Schoepplein
-
David Haller
-
Matthias Houdek
-
Michael Meyer
-
Peter Wiersig
-
Sebastian Wolfgarten
-
Thomas Gräber
-
Thomas Schiefelbein