Analyse von Netzwerktraffic

Antworten
Nachricht
Autor
petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

Analyse von Netzwerktraffic

#1 Beitrag von petameta » 02. Jun 2008 10:55

Ich habe zur Zeit Traffic auf meinem Router, den ich nicht zuordnen kann. Es wird in unregelmäßigen Zeitabständen Kontakt mit einer wechselnden IP des Providers telepac aufgenommen, immer TCP auf Port Port 16000. Dabei werden meist kleine Datenpakete ausgetauscht (0-200 Bytes). Habe mir das ganze mit tcpdump angeguckt, auch mit "-A" um den Inhalt sehen zu können. Nichts lesbares, ein einziges mal wurde der String "Linux" übertragen.

Die Frage ist nun, ob mein Router nen rootkit oder ähnliches installiert hat. Läßt sich irgendwie feststellen, welche Anwendung den Traffic generiert ?

Für's erste hab ich mal den IP-Bereich geblockt.

Benutzeravatar
hjb
Pro-Linux
Beiträge: 3252
Registriert: 15. Aug 1999 16:59
Wohnort: Bruchsal
Kontaktdaten:

#2 Beitrag von hjb » 02. Jun 2008 11:39

Hi!

Mit lsof solltest du den betreffenden Prozess rauskriegen.

Grüße,
hjb
Pro-Linux - warum durch Fenster steigen, wenn es eine Tür gibt?

petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

#3 Beitrag von petameta » 02. Jun 2008 15:11

Danke !

Wobei das auch mit lsof nervig ist. Man muß den Prozeß genau in dem Moment erwischen, in dem er Daten sendet. Ein bash-Skript mit ner Schleife hat's dann getan.

joersch

#4 Beitrag von joersch » 03. Jun 2008 12:29

Mahlzeit,

und???
was wars?

Gruss

Antworten