Re: Fragen zu pf

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 15 Feb 2006 14:01:15 +0100 (CET)

Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> On Wed, 15 Feb 2006, Matthias Fechner wrote:
> > Ich hab ständig Logeinträge wie:
> > 60. 000701 rule 138/0(match): block out on tun0: 82.135.xx.xxx.61527 > 85.12.11.221.2710: S 983159170:983159170(0) win 65535 <mss 1452,nop,wscale 1,[|tcp]>
> >
> > Gibt es eine Möglichkeit herauszufinden, welcher Prozess oder welche
> > User-ID versucht die Verbindung aufzubauen?
> > Die QuellIP ist dabei mein Server.
>
> Ein Skript, welches ins Logfile guckt und jedes Mal, wenn das passiert,
> versucht mit lsof herauszufinden, welcher Prozess denn den Port offen hat?

Dürfte nicht viel helfen. Da das SYN-Paket abgelehnt wird,
kommt keine Verbindung zustande, und somit kann lsof nichts
anzeigen.

Und selbst wenn, dürfte es viel zu spät sein: Selbst wenn
das Skript nahezu in »Echtzeit« getriggert wird (d.h. ohne
in Zeitabständen zu pollen), muß es dann erstmal lsof auf-
rufen, und lsof selbst hat immer eine gewisse Verzögerung.
Zu dem Zeitpunkt läuft der Prozeß wahrscheinlich gar nicht
mehr.

Mit den neuen Syscall-Auditing-Features, die kürzlich in
-current eingeführt wurden, könnte man möglicherweise etwas
herausfinden. Aber dazu müßte man halt ein aktuelles -cur-
rent laufen haben.

Eine andere Möglichkeit wäre, eine »Falle« zu bauen. Man
kann die fragliche Ziel-IP lokal konfigurieren (z.B. auf
lo0) und dann ein Test-Programm (z.B. netcat) an den frag-
lichen Port (2710) binden, der nichts weiter tut. Kann
man auch in einem Jail machen. Falls obiges dann nochmal
passiert, bleibt der Prozeß vermutlich hängen, und man hat
etwas länger Zeit für Untersuchungen. Das nützt natürlich
nur etwas, wenn genau obiger Fall nochmal eintritt, also
selbe IP und selber Port. (Und natürlich muß man's dann
im Paketfilter freischalten.)

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
PI:
int f[9814],b,c=9814,g,i;long a=1e4,d,e,h;
main(){for(;b=c,c-=14;i=printf("%04d",e+d/a),e=d%a)
while(g=--b*2)d=h*b+a*(i?f[b]:a/5),h=d/--g,f[b]=d%g;}
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 15 Feb 2006 - 14:02:51 CET

search this site