title image


Smiley Firewall-Log speichert IPs
Hallo zusammen,

wie kann ich herausfinden, welche Anwendung versucht hat, die geloggten IPs (von IP-Tables) zu erreichen?

Es findet immer zu unterschiedlichen Uhrzeiten statt.

Natürlich auch mit unterschiedlichen Port-Adressen.

Das HiJack-This-Log zeigt nichts Unbekanntes an.

Ein Scan der offenen TCP-Verbindungen gibt auch nichts ungewöhnliches aus.



Hier ein paar Beispiele:

Feb--10--08:08:19--SRC=10.1.6.10--DST=192.4.1.55--SPT=139--DPT=4989

Feb--10--08:20:49--SRC=10.1.6.10--DST=192.4.1.55--SPT=139--DPT=1027

Feb--10--08:45:49--SRC=10.1.6.10--DST=192.4.1.55--SPT=139--DPT=1060

Feb--13--10:53:50--SRC=10.1.6.10--DST=192.4.1.55--SPT=139--DPT=2676



Tabellenspalten:

Monat

Tag

Uhrzeit

Quell-IP

Ziel-IP

Quell-Port

Ziel-Port



In diesem Beispiel ändert sich nur der Zielport

Insgesamt werden sehr viel mehr verschiedene Ziele geloggt.



Port 139 ist normalerweise NETBIOS Session Service. Aber warum wird dann versucht eine Verbindung zu der Ziel-IP aufzubauen?

Die Ports bis 1024 sind ja normalerweise reserviert. Aber es ist doch sicherlich möglich, das eine Anwendung unerlaubterweise trotzdem so einen verwendet, oder?



tracert führt nicht zum Ziel

ping gibt eine Zeitüberschreitung aus



Kann man irgendwo sehen, wer im Internet welchen IP-Bereich verwaltet?





suchend

BlauerEngel

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: