Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)

[Tim Ruehsen <tim.ruehsen@gmx.de>]

Am Freitag, 24. September 2004 12:17 schrieb Michelle Konzack:
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2 
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63 
ID=51378 
> > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
> 
> michelle@michelle1:~ > host 66.196.90.50
> 50.90.196.66.in-addr.arpa domain name pointer lj1034.inktomisearch.com.
> 
> Ist Dir diese Domain bekannt ?

Nein.

> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2 
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63 
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
> 
> michelle@michelle1:~ > host 62.109.118.250
> 250.118.109.62.in-addr.arpa domain name pointer b118250.adsl.hansenet.de.
> 
> Wo seit ihr (ISP) ?

Wir sind seit kurzem bei Hansenet. Davon weiß der Rechner aber definitiv 
nichts. Vorher waren wir bei Cybernet. Für die Umstellung wurde der Rechner 
nicht angefaßt.

> Aber eine Länge von 40 Bytes ?
> 
> Versuch doch mal das VOLLSTÄNDIGE Paket zu erwischen...
> Manchmal ist der Inghalt hanz interessant.

Das stimmt natürlich. Ich werde tcpdump drauf ansetzen.

Mfg, Tim