NETSTAT

Dieses Thema im Forum "Sicherheit" wurde erstellt von uforner, 11. Juni 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. uforner

    uforner Kbyte

    Registriert seit:
    28. Dezember 2001
    Beiträge:
    193
    Hallo,
    ich habe in der letzten Zeit meine Onlineverbindung (Flat mit 1und1) mit netstat -n überprüft. Wollte mich mal gezielt dem Thema TROJANER widmen. ANTS meldet zwar immer, keinen gefunden zu haben, aber ich wollte es mal prüfen.

    Leider aber werde ich aus den Meldungen nicht schlau. Die Meldungen sehen oft so aus:

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    TCP 192.168.0.1:3017 64.94.89.215:80 HERGESTELLT
    TCP 192.168.0.1:3018 66.35.229.202:80 HERGESTELLT
    TCP 192.168.0.1:3019 64.94.89.146:80 WARTEND

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    TCP 192.168.0.1:3019 64.94.89.146:80 WARTEND

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT

    Die letzte erschien, obwohl ich online war und also mindestens eine Verbindung zu meinem Provider haben müsste.
    Ich gehe über einen Softwarerouter (fli4l) ins Netz. Meine local- und remote-IP waren aberganz andere.

    Wer weis, wie ich die drei IP\'s in der ersten Ping-Antwort zu bewerten habe?

    Ciao
    Uwe
     
  2. frederic

    frederic Halbes Megabyte

    Registriert seit:
    25. November 2001
    Beiträge:
    901
    Hallo,

    ich habs ausprobiert: bisweilen zeigt Netstat eine Verbindung tatsächlich nicht an, und zwar dann wenn über diese eine bestimmte Zeit keine Daten mehr übertragen wurde. Dann nämlich wird die Verbindung zwischenzeitlich abgebaut und erst bei Bedarf wiederhergestellt (jemand mit tieferen Kenntnissen über TCP/IP kann dir da sicher mehr drüber sagen).

    Die gelisteten externen Adressen sind ganz normale Internet-IPs (eine hab ich als die der Gator-Werbefirma ausmachen können), die natürlich auch zu einem Trojan Client führen *können*.

    Bei www.sysinternals.com gibts übrigens ein Progrämmchen namens TcpView, das die Funktion von Netstat in wesentlich komfortablerer Form bringt.

    Gruß
    frederic
     
  3. J.Havers

    J.Havers Byte

    Registriert seit:
    8. Juni 2002
    Beiträge:
    10
    Die drei IP\'s sind nicht drei, sondern 2... einmal deine, die auf verschiendene Ports zugreift und einmal einer einer Webseite oder zumindestens von einem Dienst der eine Verbindung zu einer Webseite oder einem Server über TCP herstellt.
    D.h.:
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    scheint deine Routersoftware oder z.B. ein Proxy zu sein und der Rest aktive Dienste die auf einen HTTP-Server zugreifen oder Webseiten die geöffnet sind.
    Ich gebe allerdings keine Garantie für meine Vermutung.

    So far,
    J.Havers
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen