tcpdump: merkwürdige Aktivitäten

Rund um die Sicherheit des Systems und die Applikationen
fh
Posts: 5
Joined: 2003-05-21 17:31

tcpdump: merkwürdige Aktivitäten

Post by fh » 2007-07-25 13:06

Hallo zusammen,

wenn ich mir seit einiger Zeit den tcpdump anschaue, gibt es eine ganze Reihe solcher Aktivitäten:

Code: Select all

12:49:49.662391 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: S 897922483:897922483(0) win 64240 <mss 1380,nop,nop,sackOK> (DF)
12:49:49.662440 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: S 2785399209:2785399209(0) ack 897922484 win 5840 <mss 1460,nop,nop,sackOK> (DF)
12:49:49.710514 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: . ack 1 win 64860 (DF)
12:49:49.712413 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: P 1:81(80) ack 1 win 5840 (DF)
12:49:49.763498 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: P 1:14(13) ack 81 win 64780 (DF)
12:49:49.763518 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: . ack 14 win 5840 (DF)
12:49:49.763619 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: P 81:110(29) ack 14 win 5840 (DF)
12:49:49.812703 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: P 14:27(13) ack 110 win 64751 (DF)
12:49:49.823327 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: P 110:141(31) ack 27 win 5840 (DF)
12:49:49.871373 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: P 27:33(6) ack 141 win 64720 (DF)
12:49:49.871475 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: P 141:150(9) ack 33 win 5840 (DF)
12:49:49.925384 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: P 33:39(6) ack 150 win 64711 (DF)
12:49:49.933018 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: P 150:155(5) ack 39 win 5840 (DF)
12:49:49.933067 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: F 155:155(0) ack 39 win 5840 (DF)
12:49:49.981252 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: . ack 156 win 64706 (DF)
12:49:49.983026 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: S 2036401561:2036401561(0) win 64240 <mss 1380,nop,nop,sackOK> (DF)
12:49:49.983073 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: S 2789913964:2789913964(0) ack 2036401562 win 5840 <mss 1460,nop,nop,sackOK> (DF)
12:49:49.985940 ##EXTERNE_IP##.1150 > ##MEINE_IP##.pop3: F 39:39(0) ack 156 win 64706 (DF)
12:49:49.985964 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.1150: . ack 40 win 5840 (DF)
12:49:50.030443 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: . ack 1 win 64860 (DF)
12:49:50.032219 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: P 1:81(80) ack 1 win 5840 (DF)
12:49:50.083523 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: P 1:15(14) ack 81 win 64780 (DF)
12:49:50.083570 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: . ack 15 win 5840 (DF)
12:49:50.083674 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: P 81:110(29) ack 15 win 5840 (DF)
12:49:50.133636 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: P 15:30(15) ack 110 win 64751 (DF)
12:49:50.145462 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: P 110:141(31) ack 30 win 5840 (DF)
12:49:50.193941 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: P 30:36(6) ack 141 win 64720 (DF)
12:49:50.194059 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: P 141:150(9) ack 36 win 5840 (DF)
12:49:50.248211 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: P 36:42(6) ack 150 win 64711 (DF)
12:49:50.253646 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: P 150:155(5) ack 42 win 5840 (DF)
12:49:50.253697 ##MEINE_IP##.pop3 > ##EXTERNE_IP##.nfa: F 155:155(0) ack 42 win 5840 (DF)
12:49:50.301967 ##EXTERNE_IP##.nfa > ##MEINE_IP##.pop3: . ack 156 win 64706 (DF)
Wenn ich das richtig deute, gibt es eine Anfrage auf Port 110 worauf mein Server auf einem anderen Port anwortet.

Ist das was ernstes?

Schonmal vielen Dank für Eure Hilfe!

Frank
Last edited by fh on 2007-07-25 13:27, edited 1 time in total.

blattlaus
Posts: 52
Joined: 2007-03-08 13:45

Re: tcpdump: merkwürdige Aktivitäten

Post by blattlaus » 2007-07-25 13:23

Das sieht aus wie eine ganz normale TCP Verbindung von einem unpriviligiertem Port zu pop3. Was beunruhigt dich da?

fh
Posts: 5
Joined: 2003-05-21 17:31

Re: tcpdump: merkwürdige Aktivitäten

Post by fh » 2007-07-25 13:29

Die Menge: das hört gar nicht mehr auf. Und das mein Server anscheinend auf einem anderen Port Antwortet. Ist das normal?

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: tcpdump: merkwürdige Aktivitäten

Post by elch_mg » 2007-07-25 13:51

wie, auf einem anderen Port? Deine Seite spricht über Port 110, die Gegenseite über irgendeinen unprivilegierten. Und was die Menge angeht: Vielleicht hat irgendeiner deiner User das Abrufinterval auf 1min gesetzt. Oder so.

fh
Posts: 5
Joined: 2003-05-21 17:31

Re: tcpdump: merkwürdige Aktivitäten

Post by fh » 2007-07-25 13:56

ahhh... ok.. dann ist das wohl ok so...

vielen Dank!