Re: [PUG] traffic aufspueren

Sun, 11 Mar 2007 02:00:52 -0800 

Michael Bischof wrote:

Hallo Liste,
ich habe hier Mandriva 2006 und das Tool kisdndial. Wenn ich im Netz bin färbt sich das rot und gibt Zahlenwerte über den ablaufenden Traffic an. Gestern hatte ich KMail aufgemacht und war auf einigen Webseiten (Browser Konqueror). Wenn man diese minimiert und nichts daran macht (Unterlinks anklickt etc.) sieht man dass der angezeigte Traffic 0 ist. Aber plötzlich war laufend Traffic, um die 2-3 KB/sec, und ich hatte keine Ahnung was da passierte, von bzw. mit welcher Adresse das Datenaustausch ablief. Wie findet man so etwas unter Linux raus? Ich würde in solch einem Fall halt wissen wollen von wem das ausging. 

Einige Versuche habe ich gemacht: netstat, ifconfig und route.
Das Ergebnis sagt mir aber nichts.

Gruß,
Michael Bischof 
bash$ netstat
ergab u.a.
tcp 0 0 87-193-52-226.ipool.cel:ssh ::ffff:194.105.148.80:49823 TIME 
_WAIT
tcp 0 0 87-193-52-226.ipool.cel:ssh ::ffff:194.105.148.80:48741 TIME 
_WAIT
tcp 0 0 87-193-52-226.ipool.cel:ssh ::ffff:194.105.148.80:50148 TIME 
_WAIT
tcp 0 720 87-193-52-226.ipool.cel:ssh ::ffff:194.105.148.80:55395 VERB 
UNDEN



        ----------------------------------

[EMAIL PROTECTED] ~]# ifconfig
ippp0     Link encap:Punkt-zu-Punkt Verbindung
          inet Adresse:87.193.52.226  P-z-P:212.60.192.36  Maske:255.0.0.0
          UP PUNKTZUPUNKT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:3013 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3550 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:30
          RX bytes:665978 (650.3 KiB)  TX bytes:515802 (503.7 KiB)

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:48 errors:0 dropped:0 overruns:0 frame:0
          TX packets:48 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:3680 (3.5 KiB)  TX bytes:3680 (3.5 KiB)

[EMAIL PROTECTED] ~]# route
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
212.0.0.0       *               255.0.0.0       U     40     0        0 ippp0
default         as-ffm-8.celox. 0.0.0.0         UG    40     0        0 ippp0
Guden .. bei der ausgabe würde ich vermuten das ein SSH-Script-Kid/Bot versucht hat bei dir 
auf den rechner zu gelangen ... hab ich hier am laufenden Band.
Wenn du SSH (als Serverdienst nicht brauchst) würde ich dir empfehlen mit hilfe der Firewall 
den port 22 zu schliessen.
ansonsten warst du mit dem
netstat -tna
gar nicht so falsch.

gruss chris
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an