marmor
21.03.04, 09:00
Hallo, euch allen einen wunderschönen guten Tag!
Kann es sein, daß im Internet nirgend wo Firewall Logs ordentlich erklärt sind? Ich fand so was immer nur in Foren wo es nur oberflächlich erklärt wurde?!
Wenn ich zb eine Zeile her nehme:
Mar 19 01:28:05 PCName kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT= MAC=00:50:04:ea:c7:7d:00:50:54:6d:ae:6c:08:00 SRC=80.108.95.32 DST=EmpfängerIP LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=12397 DF PROTO=TCP SPT=4257 DPT=190 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Die Zeile war übrigens ein Hacker, weil unter der IP waren innerhalb von 10 Sekunden 150 abgewiesene Pakete, auch SSH.
Zuerst ist bei der Teile Datum und Uhrzeit, das ist klar.
Computername
Firewall Meldung, daß Paket abgeleht wurde
Eingang über ETH0 Netzwerkkarte
OUT= kein Ausgang
MAC=?
SRC= IP Adresse der Quelle (Angreifers)
DST= Destination IP / IP des Server wo die Firewall den Log schreibt
LEN=?
TOS=?
PREC=?
TTL=?
ID= könnte es sich hierbei um die ID handeln, welche vom Arbeitsspeicher bei laufenden Programmen vergeben wird?
DF Proto=TCP ..... das die Attacke über TCP geschah
SPT=? (irgend ein Port?)
DPT=? (auch ein Port?)
Window=?
Res=?
SYN URGP
OPT=?
Vielleicht kann jeder ein paar der offenen Punkte ergänzen!
Beste Grüße und einen wunderschönen Tag noch!
Martin
Kann es sein, daß im Internet nirgend wo Firewall Logs ordentlich erklärt sind? Ich fand so was immer nur in Foren wo es nur oberflächlich erklärt wurde?!
Wenn ich zb eine Zeile her nehme:
Mar 19 01:28:05 PCName kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT= MAC=00:50:04:ea:c7:7d:00:50:54:6d:ae:6c:08:00 SRC=80.108.95.32 DST=EmpfängerIP LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=12397 DF PROTO=TCP SPT=4257 DPT=190 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Die Zeile war übrigens ein Hacker, weil unter der IP waren innerhalb von 10 Sekunden 150 abgewiesene Pakete, auch SSH.
Zuerst ist bei der Teile Datum und Uhrzeit, das ist klar.
Computername
Firewall Meldung, daß Paket abgeleht wurde
Eingang über ETH0 Netzwerkkarte
OUT= kein Ausgang
MAC=?
SRC= IP Adresse der Quelle (Angreifers)
DST= Destination IP / IP des Server wo die Firewall den Log schreibt
LEN=?
TOS=?
PREC=?
TTL=?
ID= könnte es sich hierbei um die ID handeln, welche vom Arbeitsspeicher bei laufenden Programmen vergeben wird?
DF Proto=TCP ..... das die Attacke über TCP geschah
SPT=? (irgend ein Port?)
DPT=? (auch ein Port?)
Window=?
Res=?
SYN URGP
OPT=?
Vielleicht kann jeder ein paar der offenen Punkte ergänzen!
Beste Grüße und einen wunderschönen Tag noch!
Martin