Protokollanalyse
geschrieben am 03.09.2008 um 18:47 von khronuz
Hallo,
kann sich jemand mal dieses Protokoll, welches mit Wireshark aufgezeichnet wurde ansehen?
Ich bin auf dem Gebiet noch recht neu, frage mich aber, warum über den Port einer P2P Anwendung, die beendet wurde, ständig noch Zugriffe passieren.
Was sind das für Zugriffe?
Und ist es normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?
Hier der Protokollausschnitt:
No. Delta Time Source Destination Length Protocol Info
1 0.000000 69.253.87.184 192.168.xxxx.xxx 64 TCP oracle-vp2 > 7780 [syn] Seq=0 Win=64512 Len=0 MSS=1416
Frame 1 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 69.253.87.184 (69.253.87.184), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: oracle-vp2 (1808), Dst Port: 7780 (7780), Seq: 0, Len: 0
No. Delta Time Source Destination Length Protocol Info
2 1.806348 216.167.236.205 192.168.xxx.xxx 64 TCP msl_lmd > 7780 [syn] Seq=0 Win=65535 Len=0 MSS=1414
Frame 2 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 216.167.236.205 (216.167.236.205), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: msl_lmd (1464), Dst Port: 7780 (7780), Seq: 0, Len: 0
No. Delta Time Source Destination Length Protocol Info
3 0.065107 78.94.224.45 192.168.xxx.xxx 64 TCP 63899 > 7780 [syn] Seq=0 Win=8192 Len=0 MSS=1416
Frame 3 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 78.94.224.45 (78.94.224.45), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: 63899 (63899), Dst Port: 7780 (7780), Seq: 0, Len: 0
No. Delta Time Source Destination Length Protocol Info
4 1.081865 69.253.87.184 192.168.xxx.xxx 64 TCP oracle-vp2 > 7780 [syn] Seq=0 Win=64512 Len=0 MSS=1416
Frame 4 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 69.253.87.184 (69.253.87.184), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: oracle-vp2 (1808), Dst Port: 7780 (7780), Seq: 0, Len: 0
No. Delta Time Source Destination Length Protocol Info
5 0.389144 60.242.40.225 192.168.xxx.xxx 64 TCP vistium-share > 7780 [syn] Seq=0 Win=16384 Len=0 MSS=1416
Frame 5 (64 bytes on wire, 64 bytes captured)
Ethernet II, Src: ThomsonT_83:d4:06 (00:14:7f:83:d4:06), Dst: AsustekC_49:60:8e (00:22:15:49:60:8e)
Internet Protocol, Src: 60.242.40.225 (60.242.40.225), Dst: 192.168.xxx.xxx (192.168.xxx.xxx)
Transmission Control Protocol, Src Port: vistium-share (1545), Dst Port: 7780 (7780), Seq: 0, Len: 0
geschrieben am 03.09.2008 um 21:45 von Mirko
Auch nach dem Beenden der Anwendung versuchen die anderen Clients aus dem Internet die Anwendung zu kontaktieren. Das ist normal.
Besonders extrem ist das mitunter nach dem Wechsel der IP-Adresse durch die Zwangstrennung, wenn man die IP eines Extrem-File Sharers bekommt...
Mirko
geschrieben am 03.09.2008 um 22:25 von khronuz
Ok, danke für die Antwort.
Und ist es auch normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?
Wie kann ich denn erkennen, wenn sich beispielsweise ein Trojaner eingenistet hat und ab und an durch geöffnete Ports nachhause telefoniert.
Woher kenn ich denn die ungewollt offenen Ports und wie kann ich sie wieder schließen?
MfG
geschrieben am 07.10.2008 um 10:17 von Otaku19
Ok, danke für die Antwort.
Und ist es auch normal, dass mein Router ca. alle 30 Sekunden per ARP Protokoll die angeschlossenen Geräte abfragt?
ja
[ Dieses Thema im Live-Forum aufrufen ]
|
