Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
logfile firewall

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
rakl



Anmeldungsdatum: 17.06.2000
Beiträge: 194
Wohnort: Beckum

BeitragVerfasst am: 04. März 2001 0:14   Titel: logfile firewall

Hi,
habe seit kurzem die SuSE Personalfirewall auf meinem Rechner.
Jetzt wird auch fleissig mitgelogt.
Einiges an dem Logfile ist mir schon klar.
Mar 4 01:17:48 linux kernel: Packet log: rulchain REJECT ppp0 PROTO=6 213.7.79.92:3764 213.7.73.207:27374 L=64 S=0x1C I=29428 F=0x4000 T=120 SYN (#9)

Also bis ppp0 ist halbwegs klar. Was heisst das PROTO=6
Die IP-Adresse und Portnummer von dem Sender, sowie meine IP-Adresse und Portnummer ist auch klar.
Aber was bedeutet der ganze Rest ab L=64
Und woran kann ich jetzt einen ernsten Angriff erkennen?
Wie lässt sich z.B. der Server hinter 213.7.79.92 herrausfinden.
Gruß
Rainer
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Sebastian Ude
Gast





BeitragVerfasst am: 04. März 2001 12:00   Titel: Re: logfile firewall

6 ist ein numerischer IP-Protokollwert. Guck mal in /etc/protocols. 6 ist TCP, 1 wäre z.B. ICMP.

SYN bedeutet, dass das Paket den SYN-Flag hatte, also ein Paket war das eine Verbindung aufbauen wollte.
 

Sebastian Ude
Gast





BeitragVerfasst am: 04. März 2001 12:13   Titel: Re: logfile firewall

Achso:

L=64 bedeutet, dass das Paket 64 bytes lang war.

So, jetzt musste ich selber nachschlagen Smile:

S=0x1C ist das TOS field ("divide by 4 to get the Type of Service as used by ipchains").

I=29428 ist die IP ID.

F=0x4000 "Is the 16-bit fragment offset plus flags. A value starting with `0x4' or `0x5' means that the Don't Fragment bit is set. `0x2' or `0x3' means the `More Fragments' bit is set; expect more
fragments after this. The rest of the number is the offset of this fragment, divided by 8."

T=120 "is the Time To Live of the packet. One is subtracted from this value for every hop, and it usually starts at 15 or 255."

Und #9 ist die Regel, die diese Log-Meldung erzeugt hat.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy