Traffic Problem

Rolf Kutz kutz at geo.Uni-Koeln.DE
So Jan 27 16:37:54 CET 2002


* Quoting Axel Umpfenbach (axel at umpfenbach.de):

> Ntop gibt mir eine IP an, wo das alles hingeht.
> Bei 4 Attacken, die ich bisher online verfolgt habe sind 
> das aber immer andere IP's.

Heißt das vier IPs insgesamt oder viele IPs pro
Portscan?

> Eine IP kam nie 2 x vor.
> Wenn ich die Ntop Anzeige richtig verstehe, dann sendet 
> der auf alle Ports von 1-1884 Daten und der Server 

Ports auf Deinem Server oder auf dem Client?

> antwortet. Die Antorten haben im Schnitt 90% Retrans und
> eine Paketgröße < 64 Bytes.

Und was ist drin? Welche Flags?

Ein Sniffer mit schönem Userinterface ist
etherreal. Um Angriffe automatisch zu erkennen
kann man snort benutzen. 

Gruß, Rolf



Mehr Informationen über die Mailingliste Linux-Users