[linux-l] Portscanner
Wilhelm Dolle
wilhelm.dolle at interActive-Systems.de
Fr Okt 7 17:27:19 CEST 2005
Hola,
Benjamin Schieder wrote:
> On Fri, Oct 07, 2005 at 03:45:40PM +0200, Manuel Tennert wrote:
>
>>Was ich in dieser Datei finde ist stets und st?ndig der folgende Satz:
>>
>>Oct 7 15:34:44 h615145 kernel: SuSE-FW-ACCEPT IN=eth0 OUT=
Die Kette, die diesen Eintrag im Logfile erzeugt hat heisst
"SuSE-FW-ACCEPT". Hier solltest Du mal reinsehen wenn Du der Meinung
bist das hier ein normaler Verbindungsaufbau zu Deinem ssh-Server
mitgeloggt wird.
> TOS=0x00
> Type of Service (unbekannt)
Keines der TOS-Bits ist gesetzt - wir eh im Internet im Allgemeinen
nicht beruecksichtigt.
> DF
> unbekannt
Paket bitte nicht fragmentieren.
> WINDOW=64876
> unbekannt
Schick mir bitte nur noch maximal soviele Daten bis ich etwas anderes
sage. Dat dient zur Geschwindigkeitssteigerung der Verbindung, damit man
weiss wieviele Pakete man ohne Bestaetigung versenden kann. Ermoeglicht
auch nette Angriffe ... [1,2] ;-).
> PSH
> unbekannt
Auf Senderseite sofortiges Senden der Daten (bevor Sendepuffer gefüllt
ist) und auf Empfangsseite sofortige Weitergabe an die Applikation
(bevor Empfangspuffer gefüllt ist) z. B. für interaktive Programme (wie
ssh :)).
> URGP=0
> Urgent Packet (eiliges Paket), in der Praxis nicht verwendet IIRC.
Markierung eines Teils des Datenteils als dringend. Dieser wird
unabhängig von der Reihenfolge im Datenstrom sofort an das
Anwenderprogramm weitergegeben.
Willi
[1] Artikel im Linux-Magazin (siehe Homepage)
[2] Erzaehle ich wahrscheinlich am 17. November bei der BeLUG etwas
drueber "Einbrechen in TCP-Verbindungen"
--
Wilhelm Dolle - http://www.dolle.net
Mehr Informationen über die Mailingliste linux-l