Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkprotokolle und Dienste

 
Protokollanalyse

geschrieben am 03.09.2008 um 18:47 von khronuz

Hallo,

kann sich jemand mal dieses Protokoll, welches mit Wireshark aufgezeichnet wurde ansehen?
Ich bin auf dem Gebiet noch recht neu, frage mich aber, warum über den Port einer P2P Anwendung, die beendet wurde, ständig noch Zugriffe passieren.
Was sind das für Zugriffe?

Und ist es normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?



Hier der Protokollausschnitt:


No. Delta Time Source Destination Length Protocol Info
1 0.000000 69.253.87.184 192.168.xxxx.xxx 64 TCP oracle-vp2 > 7780 [syn] Seq=0 Win=64512 Len=0 MSS=1416

Frame 1 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 69.253.87.184 (69.253.87.184), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: oracle-vp2 (1808), Dst Port: 7780 (7780), Seq: 0, Len: 0

No. Delta Time Source Destination Length Protocol Info
2 1.806348 216.167.236.205 192.168.xxx.xxx 64 TCP msl_lmd > 7780 [syn] Seq=0 Win=65535 Len=0 MSS=1414

Frame 2 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 216.167.236.205 (216.167.236.205), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: msl_lmd (1464), Dst Port: 7780 (7780), Seq: 0, Len: 0

No. Delta Time Source Destination Length Protocol Info
3 0.065107 78.94.224.45 192.168.xxx.xxx 64 TCP 63899 > 7780 [syn] Seq=0 Win=8192 Len=0 MSS=1416

Frame 3 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 78.94.224.45 (78.94.224.45), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: 63899 (63899), Dst Port: 7780 (7780), Seq: 0, Len: 0

No. Delta Time Source Destination Length Protocol Info
4 1.081865 69.253.87.184 192.168.xxx.xxx 64 TCP oracle-vp2 > 7780 [syn] Seq=0 Win=64512 Len=0 MSS=1416

Frame 4 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 69.253.87.184 (69.253.87.184), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: oracle-vp2 (1808), Dst Port: 7780 (7780), Seq: 0, Len: 0

No. Delta Time Source Destination Length Protocol Info
5 0.389144 60.242.40.225 192.168.xxx.xxx 64 TCP vistium-share > 7780 [syn] Seq=0 Win=16384 Len=0 MSS=1416

Frame 5 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 60.242.40.225 (60.242.40.225), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: vistium-share (1545), Dst Port: 7780 (7780), Seq: 0, Len: 0
 

geschrieben am 03.09.2008 um 21:45 von Mirko

Auch nach dem Beenden der Anwendung versuchen die anderen Clients aus dem Internet die Anwendung zu kontaktieren. Das ist normal.

Besonders extrem ist das mitunter nach dem Wechsel der IP-Adresse durch die Zwangstrennung, wenn man die IP eines Extrem-File Sharers bekommt...

Mirko
 

geschrieben am 03.09.2008 um 22:25 von khronuz

Ok, danke für die Antwort.

Und ist es auch normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?

Wie kann ich denn erkennen, wenn sich beispielsweise ein Trojaner eingenistet hat und ab und an durch geöffnete Ports nachhause telefoniert.
Woher kenn ich denn die ungewollt offenen Ports und wie kann ich sie wieder schließen?

MfG
 

geschrieben am 07.10.2008 um 10:17 von Otaku19

"khronuz" wrote:
Ok, danke für die Antwort.

Und ist es auch normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?



ja
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 19.10.2017