Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Am Freitag, 24. September 2004 12:17 schrieb Michelle Konzack:
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63
ID=51378
> > DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN URGP=0
>
> michelle@michelle1:~ > host 66.196.90.50
> 50.90.196.66.in-addr.arpa domain name pointer lj1034.inktomisearch.com.
>
> Ist Dir diese Domain bekannt ?
Nein.
> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST URGP=0
>
> michelle@michelle1:~ > host 62.109.118.250
> 250.118.109.62.in-addr.arpa domain name pointer b118250.adsl.hansenet.de.
>
> Wo seit ihr (ISP) ?
Wir sind seit kurzem bei Hansenet. Davon weiß der Rechner aber definitiv
nichts. Vorher waren wir bei Cybernet. Für die Umstellung wurde der Rechner
nicht angefaßt.
> Aber eine Länge von 40 Bytes ?
>
> Versuch doch mal das VOLLSTÄNDIGE Paket zu erwischen...
> Manchmal ist der Inghalt hanz interessant.
Das stimmt natürlich. Ich werde tcpdump drauf ansetzen.
Mfg, Tim
Reply to: