[linux-l] Portscanner

[Manuel Tennert]

linux-l-admin at mlists.in-berlin.de's Tastaturgeklapper am :

> On Fri, Oct 07, 2005 at 03:45:40PM +0200, Manuel Tennert wrote:
>> Was ich in dieser Datei finde ist stets und st?ndig der folgende
>> Satz: 
>> 
>> Oct  7 15:34:44 h615145 kernel: SuSE-FW-ACCEPT IN=eth0 OUT=
>> MAC=00:30:48:53:d8:20:00:11:bc:65:c8:00:08:00 SRC=194.64.151.56
>> DST=81.169.143.119 LEN=92 TOS=0x00 PREC=0x00 TTL=117 ID=40125 DF
>> PROTO=TCP SPT=2916 DPT=22 WINDOW=64876 RES=0x00 ACK PSH URGP=0
> 
> Hier das Ganze "human readable":
> IN=eth0
> 	ein Paket kommt ueber eth0 rein
> OUT=
> 	es geht nicht nach draussen
> MAC=00:30:48:53:d8:20:00:11:bc:65:c8:00:08:00
> 	die Hardwareadresse von eth0
> SRC=194.64.151.56
> 	die IP Adresse von welcher das Paket kommt
> DST=81.169.143.119
> 	die IP Adresse an die das Paket gerichtet ist
> 	in diesem Falle wohl deine
> LEN=92
> 	das Paket ist 92 byte lang
> TOS=0x00
> 	Type of Service (unbekannt)
> PREC=0x00
> 	unbekannt
> TTL=117
> 	Time To Live. Das Paket hat noch maximal 117 Hops vor sich bevor
es
> verworfen wird. ID=40125
> 	die ID des Paketes. Wird vom sendenden Rechner vergeben DF
unbekannt
> PROTO=TCP
> 	das Paket ist ein TCP Paket
> SPT=2916
> 	das Paket wurde von Port 2916 verschickt
> 	nicht aussagekraeftig
> DPT=22
> 	das Paket ist an Port 22 gerichtet (ssh)
> WINDOW=64876
> 	unbekannt
> RES=0x00
> 	unbekannt
> ACK
> 	der "Drei-Wege-Handschlag" (SYN, SYN/ACK, ACK) ist
> hiermit beendet und
> 	eine Verbindung hergestellt.
> PSH
> 	unbekannt
> URGP=0
> 	Urgent Packet (eiliges Paket), in der Praxis nicht
> verwendet IIRC.
> 
> Im Klartext heisst das, jemand hat sich an deinen SSH Port verbunden.

[...]

Naja in diesem Falle habe ich mich wohl an den SSH Port verbunden, die IP
Adresse gehorte ja zu mir, oder? Also kann ich beruhigt weiterschlafen?

Mit freundlichen Gru?en

Manuel Tennert