1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

NETSTAT

Discussion in 'Sicherheit' started by uforner, Jun 11, 2002.

Thread Status:
Not open for further replies.
  1. uforner

    uforner Kbyte

    Hallo,
    ich habe in der letzten Zeit meine Onlineverbindung (Flat mit 1und1) mit netstat -n überprüft. Wollte mich mal gezielt dem Thema TROJANER widmen. ANTS meldet zwar immer, keinen gefunden zu haben, aber ich wollte es mal prüfen.

    Leider aber werde ich aus den Meldungen nicht schlau. Die Meldungen sehen oft so aus:

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    TCP 192.168.0.1:3017 64.94.89.215:80 HERGESTELLT
    TCP 192.168.0.1:3018 66.35.229.202:80 HERGESTELLT
    TCP 192.168.0.1:3019 64.94.89.146:80 WARTEND

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    TCP 192.168.0.1:3019 64.94.89.146:80 WARTEND

    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT

    Die letzte erschien, obwohl ich online war und also mindestens eine Verbindung zu meinem Provider haben müsste.
    Ich gehe über einen Softwarerouter (fli4l) ins Netz. Meine local- und remote-IP waren aberganz andere.

    Wer weis, wie ich die drei IP\'s in der ersten Ping-Antwort zu bewerten habe?

    Ciao
    Uwe
     
    uforner, Jun 11, 2002
    #1
  2. frederic

    frederic Halbes Megabyte

    Hallo,

    ich habs ausprobiert: bisweilen zeigt Netstat eine Verbindung tatsächlich nicht an, und zwar dann wenn über diese eine bestimmte Zeit keine Daten mehr übertragen wurde. Dann nämlich wird die Verbindung zwischenzeitlich abgebaut und erst bei Bedarf wiederhergestellt (jemand mit tieferen Kenntnissen über TCP/IP kann dir da sicher mehr drüber sagen).

    Die gelisteten externen Adressen sind ganz normale Internet-IPs (eine hab ich als die der Gator-Werbefirma ausmachen können), die natürlich auch zu einem Trojan Client führen *können*.

    Bei www.sysinternals.com gibts übrigens ein Progrämmchen namens TcpView, das die Funktion von Netstat in wesentlich komfortablerer Form bringt.

    Gruß
    frederic
     
    frederic, Jun 12, 2002
    #2
  3. J.Havers

    J.Havers Byte

    Die drei IP\'s sind nicht drei, sondern 2... einmal deine, die auf verschiendene Ports zugreift und einmal einer einer Webseite oder zumindestens von einem Dienst der eine Verbindung zu einer Webseite oder einem Server über TCP herstellt.
    D.h.:
    TCP 127.0.0.1:1024 127.0.0.1:3009 HERGESTELLT
    TCP 127.0.0.1:3009 127.0.0.1:1024 HERGESTELLT
    scheint deine Routersoftware oder z.B. ein Proxy zu sein und der Rest aktive Dienste die auf einen HTTP-Server zugreifen oder Webseiten die geöffnet sind.
    Ich gebe allerdings keine Garantie für meine Vermutung.

    So far,
    J.Havers
     
    J.Havers, Jun 11, 2002
    #3
Thread Status:
Not open for further replies.

Share This Page