logfile firewall

[rakl]

Hi,
habe seit kurzem die SuSE Personalfirewall auf meinem Rechner.
Jetzt wird auch fleissig mitgelogt. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Einiges an dem Logfile ist mir schon klar.
Mar 4 01:17:48 linux kernel: Packet log: rulchain REJECT ppp0 PROTO=6 213.7.79.92:3764 213.7.73.207:27374 L=64 S=0x1C I=29428 F=0x4000 T=120 SYN (#9)

Also bis ppp0 ist halbwegs klar. Was heisst das PROTO=6
Die IP-Adresse und Portnummer von dem Sender, sowie meine IP-Adresse und Portnummer ist auch klar.
Aber was bedeutet der ganze Rest ab L=64
Und woran kann ich jetzt einen ernsten Angriff erkennen?
Wie lässt sich z.B. der Server hinter 213.7.79.92 herrausfinden.
Gruß
Rainer

[Sebastian Ude]

6 ist ein numerischer IP-Protokollwert. Guck mal in /etc/protocols. 6 ist TCP, 1 wäre z.B. ICMP.

SYN bedeutet, dass das Paket den SYN-Flag hatte, also ein Paket war das eine Verbindung aufbauen wollte.

[Sebastian Ude]

Achso:

L=64 bedeutet, dass das Paket 64 bytes lang war.

So, jetzt musste ich selber nachschlagen :

S=0x1C ist das TOS field ("divide by 4 to get the Type of Service as used by ipchains").

I=29428 ist die IP ID.

F=0x4000 "Is the 16-bit fragment offset plus flags. A value starting with `0x4' or `0x5' means that the Don't Fragment bit is set. `0x2' or `0x3' means the `More Fragments' bit is set; expect more
fragments after this. The rest of the number is the offset of this fragment, divided by 8."

T=120 "is the Time To Live of the packet. One is subtracted from this value for every hop, and it usually starts at 15 or 255."

Und #9 ist die Regel, die diese Log-Meldung erzeugt hat.