linux-l: tcpdump

[JSC]

On Fri, Mar 24, 2000 at 12:39:27AM +0100, Siegfried Pohl wrote:
> 
> 1) bedeutet doch wohl die Zahl hinter dem host Namen, also zum Beispiel
>    bert.12345, dass ein Programm, welches ueber Port 12345 kommuniziert,
>    der Absender des Packetes ist?
> 
haengt von der sichtweise ab ;-) steht's vorne, ist es quell-ip/quell-port
und du hast recht.

> 2) Wenn ja, wie kann ich zu einem gegebenen Port das Programm, welches 
>    dort arbeitet herausbekommen? Solche Sachen wie telnet auf den port
>    funktionieren natuerlich nicht 8-)
> 
auf dem remote-system: fuser 12345/tcp
=> ausgabe: 0/1/n pid's
dann mit ps weiter

aber das war wohl nicht die frage.

> Hintergrund: Immer, wenn ich mit Netscape auf der Homepage von T-Online war,
> (jaja, was macht er da wohl?), baut meine ISDN Karte, weiterhin
> Verbindungen auf, regelmaessig alle 2 Minuten. Um der Sache auf den Grund 
> zu gehen, habe den tcpdump losgelassen, die Zeile sieht ungefaehr so aus:
> 
> bert.1808 > banner.habe_ich_vergessen.t-online.de.www blabla
> 
schau dir mal die html-seite im source an. steht dort irgendwo dieses
meta-tag refresh mit value 120 ?
werbebanner werden haeufig mit refresh geladen.

andererseits sagt mir der port 12345 (so er nicht frei erfunden ist)
irgendwas. m.e.:
1) eine aeltere version von apache mit ssl hoerchte per default
   an diesem port genaugenommen das programm gcache. 
2) dies ist auch der default-port port einer back-orifice version ;-)
   
nach obiger zeile: "bert.1808 > banner.." ist aber die refresh-variante
die wahrscheinlichere.

gruss
Jens
-- 
 --------------------------------------------------------------
| Jens Schlegel                                                |
| TFH Berlin         email: schlegel at tfh-berlin.de             |
 --------------------------------------------------------------