Ports/TCPview Erklärung erbeten

#0
07.11.2003, 13:36
Member

Beiträge: 28
#1 Hi Leute,
ich hätte mal ein paar fragen zu meinen Internet Verbindungen bzw. der genutzten Ports. Ich habe hier mal eine Kopie der Tcpview Anzeige reingeschrieben:

------------------------------------------------------------------------
Hamster.exe:1028 TCP bigdaddy:smtp bigdaddy:0 LISTENING
Hamster.exe:1028 TCP bigdaddy:pop3 bigdaddy:0 LISTENING
Hamster.exe:1028 TCP bigdaddy:nntp bigdaddy:0 LISTENING


mozilla.exe:324 TCP bigdaddy:1050 bigdaddy:0 LISTENING
mozilla.exe:324 TCP bigdaddy:2083 bigdaddy:0 LISTENING
mozilla.exe:324 TCP bigdaddy:2098 bigdaddy:0 LISTENING
mozilla.exe:324 TCP bigdaddy:1049 bigdaddy:0 LISTENING
mozilla.exe:324 TCP bigdaddy:1049 localhost:1050 ESTABLISHED
mozilla.exe:324 TCP bigdaddy:1050 localhost:1049 ESTABLISHED
mozilla.exe:324 TCP 192.168.130.252:2083 207.171.182.19:http ESTABLISHED
mozilla.exe:324 TCP 192.168.130.252:2098 207.171.182.19:http ESTABLISHED



System:8 TCP bigdaddy:1033 bigdaddy:0 LISTENING
System:8 TCP 192.168.130.252:1509 213.244.181.76:http TIME_WAIT
System:8 TCP 192.168.130.252:1553 213.244.181.9:http TIME_WAIT
System:8 TCP 192.168.130.252:1957 213.244.181.76:http TIME_WAIT
System:8 TCP 192.168.130.252:2055 212.227.118.77:http TIME_WAIT
System:8 TCP 192.168.130.252:2065 212.227.118.77:http TIME_WAIT
System:8 TCP 192.168.130.252:2067 212.227.118.77:http TIME_WAIT
System:8 TCP 192.168.130.252:2074 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2101 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2110 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2135 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2136 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2145 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2165 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2167 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2174 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2183 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2185 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2187 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2200 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2222 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2224 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2225 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2229 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2230 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2233 62.141.48.167:http TIME_WAIT
System:8 TCP 192.168.130.252:2238 62.141.48.167:http TIME_WAIT
Tcpview.exe:676 UDP bigdaddy:2258 *:*
-------------------------------------------------------------------------
Meine fragen wären:

1.Warum taucht der Hamster/Mozilla so oft mit verschiedenen Ports auf bzw. Was bedeuten die einzelnen Einträge?

2. Was steckt hinter dem so oft vorkommenden "System 8" und wofür steht das?

Kann mir das jemand erklären?
Falls dieses extrem dumme Fragen sein sollten, bitte ich schon mal um Verzeihung, bin noch neu in dem Thema.

Danke und Gruss
verflucht

PS: OS ist w2k
Dieser Beitrag wurde am 07.11.2003 um 13:39 Uhr von verflucht editiert.
Seitenanfang Seitenende
07.11.2003, 21:43
Member

Themenstarter

Beiträge: 28
#2 Wie jetzt,
kann mir das niemand erklären oder will mir das niemand erklären? Hab ich mich vieleicht in der Gruppe versehen?Dann bitte ich die Mods den Thread zu verschieben.

Gruss
verflucht

Ps: Stimmt irgendwas an meiner Frage nicht?
Seitenanfang Seitenende
07.11.2003, 22:05
Moderator
Avatar joschi

Beiträge: 6466
#3 [quote]Hamster.exe:1028 TCP bigdaddy:smtp bigdaddy:0 LISTENING
Hamster.exe:1028 TCP bigdaddy:pop3 bigdaddy:0 LISTENING
Hamster.exe:1028 TCP bigdaddy:nntp bigdaddy:0 LISTENING [quote]

Anwendung:LokalerAdresse/Port:Protokoll:Rechnername(?):Protokoll:Port:Status der Verbindung

Ein Browser baut durchaus mehrere Verbindungen auf um eine Seite zu laden. Geht ja auch schneller, wie wenn alles über einen einzelnen Port laufen würde.
Diese Verbindungen werden von "lokal" nach "Remote" (also Webserver aufgebaut) und werden nachdem die Daten übertragen sind, wieder geschlossen
Serverdienste wie dein Hamster lauschen konstant und warten einfach darauf, dass eine verbindung von außen Zustande kommt.

System 8 ? kannst Du auch ausblenden. STRG+U. Es bezeichnet Verbindungsanfragen, die nicht zustande gekommen sind bzw. noch zustande kommen werden. Wenn eine Proxy (oder auch eine Software) z.B nur 20 Verbindungen entgegenimmt aber 30 bestehen, werden 10 davon als System 8 gekennzeichnet sein... erst wenn die Anfragen von der Software selbst bearbeitet werden, wirst Du anstatt System 8 das Programmicon sehen.
Besser kann ichs nicht erklären, hoffe dat war klar :).
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.11.2003, 22:06
Moderator
Avatar joschi

Beiträge: 6466
#4 Behalt mal die Ruhe.....hier wird niemand fürs Antworten bezahlt....;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
07.11.2003, 22:40
Member

Themenstarter

Beiträge: 28
#5 Hi Joschi,
vielen Dank für Deine Antwort.Bitte nicht meine Zeilen falsch verstehen, war keineswegs provozierend gemeint ;)

Ich werde morgen gleich mal deine Ausführungen geziehlt nachvollziehen, im Augenblick ist mir dieses jedoch nicht möglich (zu viele Leute hier) Ich danke dir schon mal und werde mich morgen wieder melden.
Nix für ungut, so wies scheinbar rüberkam war es nicht gemeint.
Danke und Gruss
verflucht
Seitenanfang Seitenende
08.11.2003, 22:21
Member

Themenstarter

Beiträge: 28
#6 Hi joschi,
ein paar Fragen hätte ich da noch.Vieleicht magst du ja nochmal Antworten. ;)

Zitat


Ein Browser baut durchaus mehrere Verbindungen auf um eine Seite zu laden. Geht ja auch schneller, wie wenn alles über einen einzelnen Port laufen würde.

Ist es ungefähr so zu verstehen das über die vielen Verbindungen vom Browser verschiedene Teile einer Homepage geladen werden? Bsp. Die Bilder und gifs über die eine Verbindung die Schriften widerum über einen anderen usw?

Zitat


Diese Verbindungen werden von "lokal" nach "Remote" (also Webserver aufgebaut)

Also von meinem Broser zum Webserver?

Zitat


System 8 ?Es bezeichnet Verbindungsanfragen, die nicht zustande gekommen sind bzw. noch zustande kommen werden.

Werden diese Anfragen denn vom Webserver an meinen Browser gestellt? Wie kann man sich das vorstellen?

Zitat


Wenn eine Proxy (oder auch eine Software) z.B nur 20 Verbindungen entgegenimmt aber 30 bestehen, werden 10 davon als System 8 gekennzeichnet sein...

Demnach müssten die Anfragen ja vom Webserver kommen, oder?

Danke und Gruss
verflucht
Dieser Beitrag wurde am 08.11.2003 um 22:22 Uhr von verflucht editiert.
Seitenanfang Seitenende
09.11.2003, 11:04
Moderator
Avatar joschi

Beiträge: 6466
#7 Zu deiner Frage :
1. Ob es sich nun nach Bilder und Schrift gliedert, möglich, keine Ahnung, aber in jedem fall öffnet der Browser mehr als einen lokalen Port um sich von dort aus zum Webserver zu verbinden.

2. siehe 1. anzumerken wäre: Er empfängt auf diesm lokalen Port auch die Antworten seiner jeweiligen Anfrage. Hier ist das sehr schön und ausfürhrlich beschrieben.

3.Ich dachte da an einen lokalen Proxy.
lokaler Browser an => lokaler Proxy an => remote Webserver
I.d.R stellt der Server keine Verbindungsanfragen an den Client
Das mit dem Proxy ist nur ein Beispiel um die Sache zu veranschaulichen.

Die als System 8 angezeigten "Verbindungen" stelle ich mir in der "Warteschleife" auf dem TCP/IP-Stack vor (OSI 3 bzw 4). Spätestens wenn die Applikationsebene (OSI 8) erreicht ist, siehst Du die entsprechende Verbindung mit dem jeweiligen Programmikon
S.a. http://www.different-thinking.de/osi.php
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.09.2004, 22:44
Member

Beiträge: 1132
#8 Hallo Joschi,

habe ein ähnliches "Problem" wie verflucht. Nur dass bei mir die Einträge nicht lauten System:8, sondern z.B.:
[System Process]:0 TCP name-d4gc1asnuj:8080 localhost:1056 TIME_WAIT
[System Process]:0 TCP name-d4gc1asnuj:1054 216.239.59.99:http TIME_WAIT
Ist das ähnlich zu sehen wie bei dem Beitrag von verflucht? Was bedeutet System Process? (Habe Win XP als OS)

Wäre Dir dankbar für eine Erklärung.
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
23.09.2004, 23:45
Member
Avatar Xeper

Beiträge: 5291
#9 @verflucht

Zitat

Ist es ungefähr so zu verstehen das über die vielen Verbindungen vom Browser verschiedene Teile einer Homepage geladen werden? Bsp. Die Bilder und gifs über die eine Verbindung die Schriften widerum über einen anderen usw?
Eher nicht, die Verbindung wird geöffnet alles wird geladen und sobald dies geschehen ist wird sie auch wieder geschloßen, dies kann man natürlich beeinflussen. Kann man bestimmt nicht pauschalisieren - eigentlich pro Verbindung auch ein Zugriff auf eine URL.

Zitat

Also von meinem Broser zum Webserver?
Exakt.

Zitat

Werden diese Anfragen denn vom Webserver an meinen Browser gestellt? Wie kann man sich das vorstellen?
Nein der Webserver liefert dir ja nur das, was du bestellt hast. Bei frisch eingeleiteten Verbindungen wartet der Browser halt auf die Daten.

@Heron

Bin zwar nicht Joschi aber, ich erlaube mir eine kleine Antwort:

Zitat

Ist das ähnlich zu sehen wie bei dem Beitrag von verflucht? Was bedeutet System Process?
Ja nur das erste ist eine loopback verbindung und das zweite geht zu einem webserver.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.09.2004, 10:11
Member

Beiträge: 1132
#10 Hallo Xeper,
danke für Deine rasche Antwort. Aber, genau in der Tatsache, dass Loopback-Verbindungen angezeigt werden, liegt mein kleines Problem, denn ich habe mittels Firewall (Outpost) jeglichen Loopback-Traffic unterbunden. Ich bin daher bislang davon ausgegangen, dass die Sache somit erledigt ist. Scheint aber nicht der Fall zu sein.
Hast Du eine Erklärung dafür?
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
24.09.2004, 13:35
Member
Avatar Xeper

Beiträge: 5291
#11 @Heron

Loopback zu unterbinden ist nicht sinnvoll - eher schädlich. Bist du dir bewußt was loopback ist?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.09.2004, 21:46
Member

Beiträge: 1132
#12 @Xeper

Hier eine eine einfache Definition, die ich beim Googlen gefunden habe:
Loopback
Engl. etwa "Schleife zurück". Hiermit werden Testschleifen bezeichnet, die es erlauben, gewisse Netzwerkfunktionen auszuführen, ohne tatsächlich (physikalisch) auf ein Netzwerk zuzugreifen.

Wäre Dir dankbar, wenn Du mir erklären würdest, worin die Schädlichkeit eines Abschaltens von Loopback besteht, denn ich führe keinerlei Testschleifen durch.

Habe es deaktiviert weil ich schon mehrfach gelesen habe, dass manche Wurmangriffe über die Loopback-Adresse 127.0.0.1 stattfinden, und ich brauche nur mein Firewall-Log anzusehen, wie häufig das der Fall ist!
Oder werfe ich da irgend etwas durcheinander?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
24.09.2004, 22:16
Member
Avatar Xeper

Beiträge: 5291
#13 @Heron

Ich halte diese Definition als unpassend und unzureichend.

127.0.0.1 ist eine loopback Adresse aber das Wurmangriffe dort stattfinden ist ja gar nicht möglich, die loopback range (127.0.0.0/8) ist immer nur lokal. Manche Programme benötigen es um vernünftig zu funktionieren, es gibt keinen Grund loopback zu sperren - es ist sowieso nur Lokal, die Regel lautet mit sicherheit nicht: unterbinde das was du nicht kennst oder glaubst zu wissen das du es nicht brauchst. Und dein Firewall log, naja ich denke nicht das du so genau über die Technologie bescheid weißt die du nutzt. Was du tust bleibt dir überlassen. Aber ich bin mir ziemlich sicher das ich das besser beurteilen kann, ich bin zwar kein windows user aber TCP/IP funktioniert auf jedem Betriebsystem gleich - damit ein "Wurmangriff" (was zur Hölle ist das?) über localhost stattfinden kann müßte der Wurm bereits auf deinem Rechner sein - wo siehst du da die Logik?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
25.09.2004, 00:03
Member

Beiträge: 1132
#14 Hallo Xeper,
bevor dies hier in eine endlos fruchtlosen Diskussion abgleitet möchte ich nur eines feststellen: ich bin wirklich alles andere als ein power user! Deshalb rudere ich ja mehr oder weniger hilflos in Foren wie diesem herum. Immer auf der Suche nach Aufklärungen für meine Probleme mit der Technik, und es ist Leuten wie mir wenig geholfen mit allgemeinen Auslassungen wie "ich bin mir ziemlich sicher. dass ich das besser beurteilen kann..."
Es ist mit Sicherheit so, dass Du mir in puncto Rechnertechnik um Lichtjahre voraus bist, aber, in puncto Logik bin ich noch ganz gut auf der Höhe. Wenn das alles so prima ist mit dem Loopback, warum bieten Firewalls wie Outpost überhaupt die Möglichkeit, dies zu unterbinden? Das muss ja wohl Gründe haben.
Wie gesagt, wir brauchen das Ganze nicht weiter zu vertiefen. Irgendwie, so scheint es mir, reden wir aneinander vorbei. Vielleicht auch liegt es an meiner Laienhaftigkeit, dass ich nicht in der Lage bin, das eigentliche Problem richtig zu formulieren bzw. die Technik, wie Du es ausdrückst, richtig zu verstehen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
25.09.2004, 00:32
Member
Avatar Xeper

Beiträge: 5291
#15 @Heron

Wollte dir nicht zu nahe treten, die Möglichkeit das man etwas tuen kann heißt nicht das man es tuen muss. Zu jeder PFW gehört auch ein stinknormaler Paketfilter mit dem man durch Regeln den Paketfluß einschränken und kontrollieren kann - dies ist sicherlich eines der elementarsten und primitivsten Funktionen einer Firewall. Es ist mir klar das dir mit dem Satz "ich bin mir ziemlich sicher, dass ich das besser beurteilen kann..." nicht geholfen ist - jedoch will auch ich dies hier nicht vertiefen. Sagen wir einfach von loopback kann keine Gefahr ausgehen, es ist virtuell und der Verkehr findet nur lokal statt - weder kann etwas vom internet aus ins loopback noch andersrum und das ist doch schonmal eine klare Antwort. Dieser PFW hype ist sowieso nur zu mindestens 65% Panikmache (wurde bereits in einem anderen Thread diskuttiert), alle User haben PFW jedoch haben nur die wenigsten ausreichend technisches Hintergrundwissen um diese Firewalls mit Regeln zu füttern. Jedenfalls bezogen auf dem Paketfilter, natürlich ist es einfacher ein Programm zu blocken oder nicht zu blocken. Nochmal zur Erläuterung: Ich kann mit jeder Firewall loopback blockieren - mit jeder auf jedem Betriebsystem. Die Firewall liefert einfach nur die Möglichkeit dazu bestimmt Adressenbereiche und Ports zu blockieren, 127.0.0.0/8 ist halt eines davon. Die meisten User sind einfach viel zu schnell mit dem blocken, sperren etc, ohne zu wissen was wirklich passiert.

MFG

Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: