Was für Pakete sind das?

saeckereier

saeckereier

Graue Eminenz
Hallo,

ich konfiguriere gerade auf meinem Rootserver eine neue Firewall und spiele mit dem log Target rum. Dabei sind mir ein paar Zeilen aufgefallen, und ich hoffe einer der anderen Server-Admins hier im Board kann mich erleuchten:
Code:
IN=eth0 OUT=venet0 SRC=60.222.224.132 DST=89.238.66.141 LEN=598 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=55601 DPT=1027 LEN=578
IN=eth0 OUT= MAC=00:00:6c:17:b3:5c:00:04:23:bf:49:6a:08:00 SRC=77.186.245.90 DST=89.238.66.138 LEN=56 TOS=0x00 PREC=0xC0 TTL=52 ID=20110 PROTO=ICMP TYPE=3 C
ODE=13 [SRC=89.238.66.138 DST=77.186.245.90 LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=20110 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IN=eth0 OUT=venet0 SRC=202.97.238.228 DST=89.238.66.140 LEN=597 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=40982 DPT=1026 LEN=577

Kann mir jemand verraten, was da versucht wird zu erreichen?
 
Ich würde jetzt einfach mal ICQ sagen weil der DPT=1027 (ICQ) ist.
Wobei ICQ via TCP und nicht UDP arbeitet :think:

Greez BeNe
 
Ähh, datt is inbound.. Hab ich vergessen zu erwähnen. Ich glaube nicht, dass jemand versucht mich als ICQ Server zu benutzen ...
 
Ich kann da mal nix großes erkennen:
Code:
IN=eth0 OUT=venet0 SRC=60.222.224.132 DST=89.238.66.141 LEN=598 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=55601 DPT=1027 LEN=578
UDP Port 1027 (was auch immer das ist, ICQ würde vom Port her passen aber ist TCP)
Code:
IN=eth0 OUT= MAC=00:00:6c:17:b3:5c:00:04:23:bf:49:6a:08:00 SRC=77.186.245.90 DST=89.238.66.138 LEN=56 TOS=0x00 PREC=0xC0 TTL=52 ID=20110 PROTO=ICMP TYPE=3 CODE=13 [SRC=89.238.66.138 DST=77.186.245.90 LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=20110 DF PROTO=TCP INCOMPLETE [8 bytes] ]
ICMP Paket mit dem Resultat "13"
13 Communication Administratively Prohibited. This is generated if a router cannot forward a packet due to administrative filtering.
-> http://www.networksorcery.com/enp/protocol/icmp/msg3.htm
Code:
IN=eth0 OUT=venet0 SRC=202.97.238.228 DST=89.238.66.140 LEN=597 TOS=0x00 PREC=0x00 TTL=47 ID=0 DF PROTO=UDP SPT=40982 DPT=1026 LEN=577
Nochmals ein UDP Paket auf Port 1026

Laufen den Dienste auf den Ports ?
Code:
lsof -i

Greez BeNe
 
Nein da laufen keine Dienste. Wie gesagt, ich war nur neugierig. Das ist das Log der Pakete, die verworfen werden. Ich habe meine Firewall vom Prinzip DENY ALL ausgehend entwickelt und dabei testweise die verworfenen Pakete protokolliert. Ist mir klar, dass das irgendein Müll ist, sei es ein Portscan, seien es schlecht konfigurierte Kisten anderer Leute (SMB Broadcasts waren z.B. auch bei). Die gezeigten Zeilen haben mir nix gesagt und ich dachte vllt. kennt jemand die. Wichtig ist es letztendlich auch nicht.
 
Hallo, Leute

Ich hab nachgesehen: auf https://www.grc.com/ services/shields up. "Port 1024 bis 1030 ms-svchost/Microsoft Generic service Host". Es lässt sich jeder Port testen. Ich hoffe dieser Hinweis war für euch nützlich.
 
Zuletzt bearbeitet:

Ähnliche Themen

OpenSuse 11.1 USB Festplatte wird nicht erkannt

iptables und seltsames bei FTP von best. IP

automount opensuse 11.1 gnome 2.26 funktioniert nicht

VMware Server 2 FORWARD erlauben

squid transparent proxy will nicht transparent werden !! :-(

Zurück
Oben