Netzwerkprobleme oder Hacker ?
Markus Wigge
markus at cultcom.de
Tue Oct 17 20:41:41 CEST 2000
Hi folks ...
Ich hab hier ein kleines Problemchen das ich nicht so direkt zu loesen weiss:
Wenn ich meine ISDN-Leitung kappe (Provider NGI) dauert es nicht sehr lange und
mein Rechner oeffnet die Verbindung wieder (dialmode: auto!) obwohl ich selber
keinen direkten Traffic verursacht habe ...
Ein tcpdump -i ippp0 hat folgendes ergeben (nur noch viel oefter):
(Sorry fuer die langen Zeilen!!!)
20:29:03.515773 truncated-ip - 58 bytes missing!0.60.7.122 > w006.z064000063.buf-ny.dsl.cnc.net: (frag 44404:116 at 63512+) [tos 0x9e,ECT] [ttl 0]
20:29:03.521329 truncated-ip - 16322 bytes missing!0.69.1.35 > 0.0.64.17: (frag 63078:16401 at 63512+) [ttl 0]
20:29:03.565044 pro-linux.de.www > pdbn-3e36ab89.pool.mediaWays.net.64053: S 1184824134:1184824134(0) ack 1478991319 win 30660 <mss 1460> (DF)
20:29:03.565385 truncated-ip - 78 bytes missing!0.40.7.123 > w006.z064000063.buf-ny.dsl.cnc.net: (frag 44404:116 at 55816) [tos 0x9e,ECT]
20:29:03.566005 truncated-ip - 13947 bytes missing!1.129.7.124 > w006.z064000063.buf-ny.dsl.cnc.net: (frag 5223:14342 at 6304)
20:29:03.662025 pro-linux.de.www > pdbn-3e36ab89.pool.mediaWays.net.64053: . ack 346 win 30660(DF)
20:29:03.686660 pro-linux.de.www > pdbn-3e36ab89.pool.mediaWays.net.64053: P 1:181(180) ack 346 win 32120 (DF)
20:29:03.686876 truncated-ip - 78 bytes missing!0.40.7.128 > w006.z064000063.buf-ny.dsl.cnc.net: (frag 44404:116 at 55816) [tos 0x9e,ECT]
20:29:03.719572 truncated-ip - 13947 bytes missing!1.129.7.129 > w006.z064000063.buf-ny.dsl.cnc
[... deleted ...]
20:19:15.221969 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 20466 NXDomain* 0/1/0 (120)
20:19:15.224207 truncated-ip - 16321 bytes missing!0.70.254.64 > 0.0.64.17: (frag 65468:16401 at 63512+) [ttl 0]
20:19:15.387857 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 61025 NXDomain* 0/1/0 (122)
20:19:15.389743 truncated-ip - 16321 bytes missing!0.70.254.68 > 0.0.64.17: (frag 65452:16401 at 63512+) [ttl 0]
20:19:16.285737 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 53554 NXDomain* 0/1/0 (122)
20:19:16.287619 truncated-ip - 16321 bytes missing!0.70.254.72 > 0.0.64.17: (frag 65448:16401 at 63512+) [ttl 0]
20:19:17.097997 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 63665 NXDomain* 0/1/0 (122)
20:19:17.099894 truncated-ip - 16321 bytes missing!0.70.254.76 > 0.0.64.17: (frag 65444:16401 at 63512+) [ttl 0]
20:19:17.460135 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 31980 NXDomain* 0/1/0 (122)
20:19:17.462016 truncated-ip - 16321 bytes missing!0.70.254.80 > 0.0.64.17: (frag 65440:16401 at 63512+) [ttl 0]
20:19:17.710758 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 3327 NXDomain* 0/1/0 (122)
20:19:17.712639 truncated-ip - 16321 bytes missing!0.70.254.84 > 0.0.64.17: (frag 65436:16401 at 63512+) [ttl 0]
20:19:18.118009 web.owl.de.domain > pdbn-3e36ab89.pool.mediaWays.net.1072: 30545 NXDomain* 0/1/0 (122)
...
und zwar kurz nachdem die Verbindung wieder aufgebaut wurde. Ich habe mal nach
verdaechtigen Prozessen ausschau gehalten und nix gefunden was dazu fuehren koennte.
Ich bin in auch nicht der absolute Crack in Sachen TCP/IP, daher kann ich mit der
Ausgabe nicht das allermeiste anfangen.
Kann ich irgendwie zurueckverfolgen von welchem Prozess der Traffic ausgeht?
Oder kann es sich dabei um Traffic auf der Provider-Seite handeln, den mein tcpdump da mit
einfaengt? (Halte ich fuer unwahrscheinlich)
Waer nett wenn mir da mal jemand einen kleinen Tipp geben kann wo ich da ansetzen sollte.
Die ISDN- und "Daemon" Konfiguration (also was Prozesse wie bind, Apache oder Postgres angeht)
ist die gleiche wie eh und je, nur dieses Problem ist neu!?
(Zum testen habe ich die Prozesse uebrigens auch schon abgeschossen, ohne Erfolg...)
Thanx'n'bye
Markus
More information about the Linux
mailing list