linux-l: Merkwürdiger Traffic bei addcom

Ralf Balzer mail at ralf-balzer.de
Mi Jul 12 19:04:58 CEST 2000


Hallo Leute,

Ich weiß nicht, ob es eine Bedeutung hat, aber ich bekomme seit einigen 
Tagen komische Datenpakete, wenn ich mich bei Addcom oder Compuserve
einwähle.
Es sind TCP-Pakete auf Port 113: auth (tap ident authentication).
Die Frage ist, ob es sich bei diesen Paketen um reguläre Paket handelt,
die von Ihnen ausgehen, oder ob es sich um Crackversuche handelt.

Die Pakete kommen in der Regel von der IP 62.96.128.34
(pille.addcom.de), 
aber heute morgen sind auch Pakete von einer anderen IP eingegangen, 
siehe Beispiel. Mir ist kein Grund ersichtlich, für was diese Pakete
benötigt werden, da von mir außer surfen und Mail, netdate, ping und
nslookups kein weiterer Traffic initiiert wurde.

Außerdem scheinen die Pakete unaufgefordert hereinzukommen !!!!!

Beispiel :
Eigene IP bei Anmeldung : 62.96.140.15

Meldung der Firewall :
Jul  7 08:36:14 Castle kernel: Packet log: inWEB DENY ippp0 PROTO=6
208.186.153.131:2220 62.96.140.15:113 L=44 S=0x00 I=10034 F=0x00

> traceroute 208.186.153.131
traceroute to 208.186.153.131 (208.186.153.131), 30 hops max, 40 byte
packets
 1  h-62.96.128.116.user.addcom.de (62.96.128.116)  47 ms  44 ms  40 ms
 2  h-62.96.128.113.user.addcom.de (62.96.128.113)  50 ms  53 ms  50 ms
 3  h-212.121.137.73.host.de.colt.net (212.121.137.73)  50 ms  49 ms  50
ms
 4  a1-0-0.ar1.fra.router.DE.COLT.NET (212.121.131.169)  50 ms  41 ms 
41 ms
 5  fa6-0-0.cr3.fra.router.DE.COLT.NET (212.121.151.44)  42 ms  50 ms 
50 ms
 6  pos0-0-0-cookie-monster.FFM.router.COLT.NET (212.74.65.25)  45 ms 
49 ms  50 ms
 7  pos3-1-super-grover.LON.router.COLT.NET (212.74.64.166)  57 ms  60
ms  60 ms
 8  pos2-0-grover.LON.router.COLT.NET (212.74.64.181)  60 ms  64 ms  60
ms
 9  pos1-0-0-cartman.NYC.router.COLT.NET (212.74.64.198)  130 ms  134
ms  130 ms
10  212.74.74.9 (212.74.74.9)  130 ms  132 ms  130 ms
11  serial4-0-3.hsa1.nyc1.Level3.net (209.244.160.57)  130 ms  129 ms 
130 ms
12  lo0.mp1.NewYork1.level3.net (209.247.8.251)  130 ms  130 ms  130 ms
13  so-0-0-0.mp1.Chicago1.level3.net (209.247.8.14)  150 ms  154 ms  150
ms
14  loopback0.edge1.Chicago1.Level3.net (209.244.2.70)  150 ms  154 ms 
150 ms
15  aads01.chcg.eli.net (206.220.243.97)  250 ms  247 ms  250 ms
16  srp2-0.cr01.chcg.eli.net (208.186.20.81)  220 ms  226 ms  220 ms
17  p10-0.cr02.slkc.eli.net (207.173.115.53)  220 ms  220 ms  220 ms
18  a4-0--6.gw01.lsan.eli.net (207.173.113.42)  230 ms  230 ms  230 ms
19  a4-0--6.gw01.lsan.eli.net (207.173.113.42)  230 ms  229 ms  230 ms
20  gw2-EDIIDEA2-DOM.lsan.eli.net (209.63.60.42)  250 ms  260 ms  260 ms
21  gw2-EDIIDEA2-DOM.lsan.eli.net (209.63.60.42)  250 ms !A *  250 ms !A

Hat eine ne Ahnung, wofür diese Pakete benötigt werden ?

mfg
Ralf Balzer



Mehr Informationen über die Mailingliste linux-l