• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Auswertung der Firewall logs

C

capser

Member
Hallo alle miteinander,
nachdem nun anscheinend eine Firewall stabil läuft haben wir im sekunden Takt folgende meldung in der var/log/messages

Nov 25 11:25:48 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0a:27:7a:7c:5a:08:00 SRC=192.168.0.166 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=31434 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 25 11:26:09 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:a6:c0:5d:6c:08:00 SRC=192.168.0.197 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=64801 PROTO=UDP SPT=138 DPT=138 LEN=209
Nov 25 11:26:09 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:e0:4c:93:04:9f:08:00 SRC=192.168.0.157 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=23327 PROTO=UDP SPT=138 DPT=138 LEN=209
Nov 25 11:26:15 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:76:dc:7c:02:08:00 SRC=192.168.0.109 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=37609 PROTO=UDP SPT=138 DPT=138 LEN=209
Zum Vergrößern anklicken....

Da dies die ersten einträge sind die ich zu gesicht bekomme bin ich mir nicht ganz sicher was das bedeutet.
Vielleicht könnte mir das ja jemand erklären.

Abschließen hätte ich noch ne frage ob man es bewerkstelligen kann das die log einträge in eine extra datei eintragen werden?

gruß
Nils
 
ThomasF

ThomasF

Hacker
Hehe,

wilkommen im Club ... ;-)

Die /etc/services ist Dein Freund ...

Code: 
netbios-ns      137/tcp    # NETBIOS Name Service
netbios-ns      137/udp    # NETBIOS Name Service
netbios-dgm     138/tcp    # NETBIOS Datagram Service
netbios-dgm     138/udp    # NETBIOS Datagram Service
netbios-ssn     139/tcp    # NETBIOS Session Service
netbios-ssn     139/udp    # NETBIOS Session Service

Und mit der Info von DST x.x.x.255 ist klar das es Broadcast ist.

Also um es kurz zu machen, sind das Rundsendungen von Windows-Rechnern mit NETBIOS.

So long

ThomasF
 
OP
C

capser

Member
Hi erstmal vielen Dank für die Antwort,

eigentlich ja nichts schlimmes, da ich sonst ja aber immer nicht so auf dem traffic im Netz geachtet habe dochnochmal ne frage.

Ist es normal das soviele Rundfragen gesetzt werden oder kann das auch ein Wurm im Netz sein?

Vielleicht hat daz ja noch jemand ne Antwort parat wäre für Hilfe natürlich dankbar.

Eventuell kennt ja auch noch jemand ein paar scripte womit man solche logs auswerten kann.
Also falls jemand sowas kennt ist natürlich einfacher als selber welche zu schreiben.
 
ThomasF

ThomasF

Hacker
Hmm

ich nochmal ;-)

Also NETBIOS Rundsendungen auf Port 137 sind nur für die Namesauflösung. Wenn Du also keinen WINS Server hast und den auf den Clients einträgst entstehen schon ziemlich viele solche Rundsendungen. Also nichts schlimmes ;-)
Ein Wurm über diesen Port halte ich für eher unwahrscheinlich, die anderen Windows-Ports sind da eher für bekannt.

Um Logs auszuwerten gibt es vieeeele Tools ....
Schau doch mal in die aktuelle Linux-Magazin, da ist ein Bericht darüber (noch nicht online verfügbar)

Aber Google ist auch Dein Freund ... oder suche einfach auf sourceforge.net nach iptables oder netfilter.

So long

ThomasF
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben