[linux-l] Portscanner

Benjamin Schieder blindcoder at scavenger.homeip.net
Fr Okt 7 16:01:46 CEST 2005 

On Fri, Oct 07, 2005 at 03:45:40PM +0200, Manuel Tennert wrote:
> Was ich in dieser Datei finde ist stets und st?ndig der folgende Satz:
> 
> Oct  7 15:34:44 h615145 kernel: SuSE-FW-ACCEPT IN=eth0 OUT=
> MAC=00:30:48:53:d8:20:00:11:bc:65:c8:00:08:00 SRC=194.64.151.56
> DST=81.169.143.119 LEN=92 TOS=0x00 PREC=0x00 TTL=117 ID=40125 DF PROTO=TCP
> SPT=2916 DPT=22 WINDOW=64876 RES=0x00 ACK PSH URGP=0

Hier das Ganze "human readable":
IN=eth0
	ein Paket kommt ueber eth0 rein
OUT=
	es geht nicht nach draussen
MAC=00:30:48:53:d8:20:00:11:bc:65:c8:00:08:00
	die Hardwareadresse von eth0
SRC=194.64.151.56
	die IP Adresse von welcher das Paket kommt
DST=81.169.143.119
	die IP Adresse an die das Paket gerichtet ist
	in diesem Falle wohl deine
LEN=92
	das Paket ist 92 byte lang
TOS=0x00
	Type of Service (unbekannt)
PREC=0x00
	unbekannt
TTL=117
	Time To Live. Das Paket hat noch maximal 117 Hops vor sich bevor
	es verworfen wird.
ID=40125
	die ID des Paketes. Wird vom sendenden Rechner vergeben
DF
	unbekannt
PROTO=TCP
	das Paket ist ein TCP Paket
SPT=2916
	das Paket wurde von Port 2916 verschickt
	nicht aussagekraeftig
DPT=22
	das Paket ist an Port 22 gerichtet (ssh)
WINDOW=64876
	unbekannt
RES=0x00
	unbekannt
ACK
	der "Drei-Wege-Handschlag" (SYN, SYN/ACK, ACK) ist hiermit beendet und
	eine Verbindung hergestellt.
PSH
	unbekannt
URGP=0
	Urgent Packet (eiliges Paket), in der Praxis nicht verwendet IIRC.

Im Klartext heisst das, jemand hat sich an deinen SSH Port verbunden.

Gruesse,
	Benjamin
-- 
#!/bin/sh #!/bin/bash #!/bin/tcsh #!/bin/csh #!/bin/kiss #!/bin/ksh
#!/bin/pdksh #!/usr/bin/perl #!/usr/bin/python #!/bin/zsh #!/bin/ash

Feel at home? Got some of them? Want to show some magic?

	http://shellscripts.org
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20051007/45f40e8b/attachment.sig>

Mehr Informationen über die Mailingliste linux-l