linux-l: tcpdump
JSC
schlegel at tfh-berlin.de
Fr Mär 24 08:20:54 CET 2000
On Fri, Mar 24, 2000 at 12:39:27AM +0100, Siegfried Pohl wrote:
>
> 1) bedeutet doch wohl die Zahl hinter dem host Namen, also zum Beispiel
> bert.12345, dass ein Programm, welches ueber Port 12345 kommuniziert,
> der Absender des Packetes ist?
>
haengt von der sichtweise ab ;-) steht's vorne, ist es quell-ip/quell-port
und du hast recht.
> 2) Wenn ja, wie kann ich zu einem gegebenen Port das Programm, welches
> dort arbeitet herausbekommen? Solche Sachen wie telnet auf den port
> funktionieren natuerlich nicht 8-)
>
auf dem remote-system: fuser 12345/tcp
=> ausgabe: 0/1/n pid's
dann mit ps weiter
aber das war wohl nicht die frage.
> Hintergrund: Immer, wenn ich mit Netscape auf der Homepage von T-Online war,
> (jaja, was macht er da wohl?), baut meine ISDN Karte, weiterhin
> Verbindungen auf, regelmaessig alle 2 Minuten. Um der Sache auf den Grund
> zu gehen, habe den tcpdump losgelassen, die Zeile sieht ungefaehr so aus:
>
> bert.1808 > banner.habe_ich_vergessen.t-online.de.www blabla
>
schau dir mal die html-seite im source an. steht dort irgendwo dieses
meta-tag refresh mit value 120 ?
werbebanner werden haeufig mit refresh geladen.
andererseits sagt mir der port 12345 (so er nicht frei erfunden ist)
irgendwas. m.e.:
1) eine aeltere version von apache mit ssl hoerchte per default
an diesem port genaugenommen das programm gcache.
2) dies ist auch der default-port port einer back-orifice version ;-)
nach obiger zeile: "bert.1808 > banner.." ist aber die refresh-variante
die wahrscheinlichere.
gruss
Jens
--
--------------------------------------------------------------
| Jens Schlegel |
| TFH Berlin email: schlegel at tfh-berlin.de |
--------------------------------------------------------------
Mehr Informationen über die Mailingliste linux-l