© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marc Santhoff wrote:
> neuerdings sendet in einem lokalen Netz sporadisch ein Programm Pakete
> durch die Gegend. Ich würde nun gern wissen:
>
> - welches Programm sendet dort?
> - was genau sendet dieses Programm?
>
> Außerdem spuckt ein DSL-Router in regelmäßigen Abständen kurze Pakete
> aus, ohne daß darüber etwas in der Dokumentation steht. Wo ich grad'
> dabei bin, würde ich die auch gern mal auf ihre Bedeutung hin
> untersuchen.
>
> Da Netzwerkdiagnose nicht gerade mein Hobby ist, brauche ich für diese
> Vorhaben etwas Starthilfe.
>
> Welche Programme (man) sollte ich mir angucken?
> Gibt es vielleicht ein lesenswertes (möglichst kurz gehaltenes ;)
> Tutorium, daß ich lesen sollte?
Ich würde es zuerst mit einfachen Bordmitteln versuchen,
d.h. tcpdump(1). Ungefähr so:
# tcpdump -i fxp0 -s0 -vvv -l -e -n
Anstelle von fxp0 musst Du natürlich das jeweilige Inter-
face angeben. Falls Du zuviel Output bekommst, kannst Du
dahinter noch einen Filter-Ausdruck eingeben, zum Beispiel
sowas wie »host 1.2.3.4 and port 5«; Details siehe Manpage.
Um die Ausgabe zu interpretieren, braucht man natürlich
gewisse Kenntnisse über TCP/IP oder Netzwerke im allge-
meinen. Mit sowas wurden zahlreiche Bücher gefüllt, ein
»kurz gehaltenes Tutorial« gibt's da eher nicht, fürchte
ich.
Wenn Du ein Paket auf Portnummern siehst, die Dir ver-
dächtig vorkommen, kannst Du die Portnummer erstmal in
/etc/services nachschlagen. Wenn das kein befriedigendes
Resultat bringt, gibt es im Internet zahlreiche Seiten,
die Informationen zu Ports sammeln; zum Beispiel diese:
Da kannst Du die Portnummer eingeben und bekommst einige
Infos, insbesondere über potentielle Schadsoftware, die
diesen Port verwendet. Beachte, dass nur der Destination-
Port (auf der Server-Seite) entscheidend ist; die Nummer
des Source-Ports auf der Client-Seite wird meist zufällig
gewählt.
Mit dem Kommando sockstat(1) kannst Du unter FreeBSD
nachschauen, welche Prozesse welche Ports geöffnet haben,
und unter welcher UID sie laufen. Damit kommst Du den
»Schuldigen« meistens auf die Schliche.
Wenn Du mit einem Paket gar nichts anfangen kannst,
kannst Du die tcpdump-Ausgabe auch gerne mal hier zeigen.
Evtl. kann ein anderer etwas damit anfangen.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd "If Java had true garbage collection, most programs would delete themselves upon execution." -- Robert Sewell To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 30 May 2008 - 09:23:57 CEST