blackicedefender-ausgaben analysieren

#0
01.01.2003, 04:25
Gandalf
zu Gast
#1 hallo!

ich benutze gerade den blackicedefender 3.5 . läuft auch alles soweit ganzgut. aber da steht dann sowas:

Blocked State, Intruder
1, pc4-cmbg1-6-cust224.cmbg.cable.ntl.com

oder

Time, Event, Intruder, Count, TCP Flags, Protocol ID, Destination Port, Source Port, Parameter(s), Target, Target IP, Intruder IP, Event ID, Response Level, Severity (numeric)
31.12.02 20:03:32, TCP port probe, pD9ED671E.dip0.t-ipconnect.de, 12, 0x00000002, TCP, 27704, 3957, port=27704&reason=Firewalled, , 145.254.78.251, 217.237.103.30, 2003102, A, 1

weiß jemand, wie man sowas liest und auswertet?

würde mich sehr über antworten freuen!
Seitenanfang Seitenende
01.01.2003, 09:26
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2

Zitat

Gandalf postete
[i]Time, Event, Intruder, Count, TCP Flags, Protocol ID, Destination Port, Source Port, Parameter(s), Target, Target IP, Intruder IP, Event ID, Response Level, Severity (numeric)
31.12.02 20:03:32, TCP port probe, pD9ED671E.dip0.t-ipconnect.de, 12, 0x00000002, TCP, 27704, 3957, port=27704&reason=Firewalled, , 145.254.78.251, 217.237.103.30, 2003102, A, 1
i]


Wann: 31.12.02 20:03:32
Was: TCP - PortScan
Wer: pD9ED671E.dip0.t-ipconnect.de
Wieviel: 12
TCPFlag: 0x00000002 (?)
Welches Protokol: TCP
Ursprungsport: 27704
Paramater: 3957 (?)
Zielport: 27704
Ziel (DEine IP): 145.254.78.251
Wer(IP): 217.237.103.30 = pD9ED671E.dip0.t-ipconnect.de

Der Rest - kein Ahnung.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
01.01.2003, 20:09
Gandalf
zu Gast

Themenstarter
#3 danke erst mahl sehr :-)

soweit hab ich das jetzt durchschaut. aber gibt es eine möglichkein herrauszufinden, wer pD9ED671E.dip0.t-ipconnect.de ist?
Seitenanfang Seitenende
01.01.2003, 21:04
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 Die IP gehört zum Adress-Bereich von der Telekom. www.ripe.net

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
04.01.2003, 01:20
...neu hier

Themenstarter

Beiträge: 3
#5 danke sehr :-)

aber da gibt es mehr intruders und somit verschiedene ip`s als es buchstaben auf der tastatur gibt! gibts da so was wie tabellen oder ein programm, sodass ich irgendwie herrausfinden kann, ob der intruder bloss ein programm ist oder ein wirklicher intruder?
Seitenanfang Seitenende
04.01.2003, 08:19
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#6 Die Wahrscheinlichkeit, daß eine Privatperson wirklich angegriffen wird (im Sinne von Zugang zum System bekommen) ist relativ gering. Meist handelt es sich um Portscans. Die Gefahr, daß man Dir einen Virus oder Trojaner unterschieben will, ist weitaus größer.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
04.01.2003, 21:33
...neu hier

Themenstarter

Beiträge: 3
#7 kann ich das mit einem ids oder einer pfw verhindern?

kann ich nun irgendwie herrausfinden, was sich hinter der ip verbirgt?

gruss.
Seitenanfang Seitenende
04.01.2003, 22:36
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#8 Verhindern - nein - nur durch entsprechende Maßnahmen (wie Firewall, NAT-Router ...) schützen. Wenn Du über die IP herausfindest wem die IP gehört, welchem Provider, dann kannst Du eine Mail an abuse@provider.de (ZB: abuse@t-online.de) mit Deiner Beschwerde und möglichst einem Auszug aus dem Logfile senden.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Dieser Beitrag wurde am 08.01.2003 um 21:40 Uhr von Robert editiert.
Seitenanfang Seitenende
08.01.2003, 21:16
...neu hier

Themenstarter

Beiträge: 3
#9 danke soweit erst ein mal.
aber ich hab leiden noch nie etwas von NAT-routern gehört.

"Wenn Du über die IP herausfindest " - ist das überhaupt möglich?

am rande. ich weis, dassfolgendes ein weites feld ist und das da praktisch jeder etwas anderes erzählt. was empfielst du denn für eine firewall?
Seitenanfang Seitenende
08.01.2003, 21:42
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#10 Du schaust einfach in der whois der http://www.ripe.net nach.

am rande: outpost

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende