Gdnaaaaaaaaaaaamd! MAl eine bescheiden Frage am Rande. Ich hab' mir ja nun füpr meine T-DSL flat eine Firewall gebastelt und auch logsurfer so installiert, daß er mir bestimmte Ereignisse dokumentiert. Nun Frag ich mich, kann ich denn irgendwie herausfinden, wer sich denn hinter einer IP-Adresse im Internet verstecken könnte. (Land, ISP, 4ma oder was auch immer)? Hab' da keinen blassen Schimmer wo man anfragen und suchen könnte ... Vielleicht kann mir ja jemand helfen und/oder Verweise bzw. Quellen benennen ... Muchos gracias! ;-) Pfiadseich! BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Hallo Michael, die Tools, die Du meinst, heissen: nslookup, dig, host -a und traceroute :-) Eventuell die bekannten Auskunftdienste wie whois sollten weiterhelfen. Denic.de, allwhois.com, checkdomains.com und nsi.com bzw. register.com! Gruß Sebastian
Hoppala! ;-) Am Donnerstag, 9. August 2001 22:36 schrieb Sebastian Wolfgarten:
die Tools, die Du meinst, heissen:
Das ging' ja flott, mal sehen, ob ich da ein paar Info's herauskriege ... Danke nochmals ... cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
* Michael Nausch
Nun Frag ich mich, kann ich denn irgendwie herausfinden, wer sich denn hinter einer IP-Adresse im Internet verstecken könnte. (Land, ISP, 4ma oder was auch immer)?
Das Kommando andreas:~ > whois 217.4.43.69 Verraet Dir, wohin die IP 217.4.43.69 gehoert. Natuerlich kannst Du das auch pipen: andreas:~ > whois 217.4.43.69 | grep netname netname: DTAG-DIAL13 andreas:~ > whois 217.4.43.69 | grep person person: Reinhard Hausdorf person: Andreas Hengl person: Security Team Gruss, Andreas -- Und am achten Tage gab er dem Menschen das score-file
HI, Am Donnerstag, 9. August 2001 22:56 schrieb Andreas Kneib:
Das Kommando
andreas:~ > whois 217.4.43.69
Verraet Dir, wohin die IP 217.4.43.69 gehoert.
Hmmm, wenn ich das aber z.B. für ein parr der verdächtigen Adressen verwende, erhalte ich: bigchief@server:~ > whois 217.80.208.165 | grep netname connect: Verbindungsaufbau abgelehnt Das war z.B. einer der auf meinen Port 80, also per HTTP auf meinen Rechner (Router) zugreifen wollte ... Stimmt doch, oder?
andreas:~ > whois 217.4.43.69 | grep netname andreas:~ > whois 217.4.43.69 | grep person
Weder das eine noich das andere bringt eine Ausgabe! Immer nur "connect: Verbindungsaufbau abgelehnt" ... Was nun sprach Zeus? Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
* Michael Nausch
Hmmm, wenn ich das aber z.B. für ein parr der verdächtigen Adressen verwende, erhalte ich:
bigchief@server:~ > whois 217.80.208.165 | grep netname connect: Verbindungsaufbau abgelehnt
andreas:~ > whois 217.80.208.165 | grep netname netname: DTAG-DIAL14 Mmh...seltsam, bei mir gehts. :-/ Was sagt denn das bei Dir? : andreas:~ > whois --version Version 4.5.4. Etwas ratlos, Andreas -- http://www.kolumne.ixy.de
HI, Am Freitag, 10. August 2001 01:03 schrieb Andreas Kneib:
Mmh...seltsam, bei mir gehts. :-/
Was sagt denn das bei Dir? :
andreas:~ > whois --version Version 4.5.4.
Genau das gleiche! :-) Komisch .... ttyl, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Michael Nausch schrieb am Donnerstag den 09. August 2001:
Hmmm, wenn ich das aber z.B. für ein parr der verdächtigen Adressen verwende, erhalte ich:
bigchief@server:~ > whois 217.80.208.165 | grep netname connect: Verbindungsaufbau abgelehnt
Deine Firewall spielt Dir einen Streich? :) Gruß Jens -- .. may the Tux be with you! #130250
Griasdeoidewuaschdhaud! Am Freitag, 10. August 2001 09:04 schrieb Jens Tautenhahn:
bigchief@server:~ > whois 217.80.208.165 | grep netname connect: Verbindungsaufbau abgelehnt
Deine Firewall spielt Dir einen Streich? :)
Na ja ich sehe das wenn anderst, meine policy greift hald! ;-) "Was nicht ausdrücklich erlaubt ist ist verboten". Ist wenn dann eine Sache der Betrachtung! Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Am Donnerstag, 9. August 2001 22:57 schrieb Michael Nausch:
Weder das eine noich das andere bringt eine Ausgabe! Immer nur "connect: Verbindungsaufbau abgelehnt" ...
Was nun sprach Zeus?
Du hast ne Firewall aufgebaut, hast Du geschrieben. Ne Firewall sollte alles mitloggen, was nicht erlaubt ist, also schau mal, ob da was auftaucht, wenn Du ne whois-Anfrage losschickst. PS: Services und ihre Ports stehen in /etc/services -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
Griasde Manfred! Am Freitag, 10. August 2001 13:43 schrieb Manfred Tremmel:
Du hast ne Firewall aufgebaut, hast Du geschrieben. Ne Firewall sollte alles mitloggen, was nicht erlaubt ist, also schau mal, ob da was auftaucht, wenn Du ne whois-Anfrage losschickst.
Tja, nun kommt's, da passiert gar nix! KEIN Eintrag oder dergleichen, weder in der /var/log/syslog/messages noch in der ...kern.info
PS: Services und ihre Ports stehen in /etc/services
Woase scho! ;-) Aber da hätte ich noch eine kleine Frage: :-) Wenn z.B. mir logsurfer meldet, das eine TCP-Verbindungsanforderung auf Port 27374 auftrat, dann hat angeblich jemand nach einem Trojanischen Pferd gesucht, im speziellen eine Backdoor von SubSeven V2.1 Kann man den irgendwo nachlesen, welche Protokoll und Port Kombinationen welchen "Späh- bzw. Angriffsvorbereitungsversuch entspricht? Was mich z.B. auch interessieren würde, wären die vielen vielen "services" in der /etc/services. Gibt's igendwo eine Suchmöglichkeit, die mir z.B. den "Sinn" von Port 1973 "dlsrap" auswirft? Wie Du siehst viele "ungelöste Herausforderungen" ... :-) Pfiade, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
michael@nausch.org (Michael Nausch) writes:
Griasde Manfred!
Am Freitag, 10. August 2001 13:43 schrieb Manfred Tremmel:
Kann man den irgendwo nachlesen, welche Protokoll und Port Kombinationen welchen "Späh- bzw. Angriffsvorbereitungsversuch entspricht? Was mich z.B. auch interessieren würde, wären die vielen vielen "services" in der /etc/services. Gibt's igendwo eine Suchmöglichkeit, die mir z.B. den "Sinn" von Port 1973 "dlsrap" auswirft?
Ja, RFC 1700 Assigned Numbers, kann aber auch sein, das es schon einen Nachfolger gibt, mach mal ein grep 'Assigned Numbers' ueber rfc-index.txt -Dieter -- Dieter Kluenter Brute Force Imaging
participants (6)
-
Andreas Kneib -
Dieter Kluenter -
Jens Tautenhahn -
Manfred Tremmel -
Michael Nausch -
Sebastian Wolfgarten