Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Auswertung der Firewall logs

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
capser
Member
Member
Beiträge: 62
Registriert: 22. Nov 2004, 10:09

Auswertung der Firewall logs

Beitrag von capser »

Hallo alle miteinander,
nachdem nun anscheinend eine Firewall stabil läuft haben wir im sekunden Takt folgende meldung in der var/log/messages
Nov 25 11:25:48 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0a:27:7a:7c:5a:08:00 SRC=192.168.0.166 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=31434 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 25 11:26:09 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:a6:c0:5d:6c:08:00 SRC=192.168.0.197 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=64801 PROTO=UDP SPT=138 DPT=138 LEN=209
Nov 25 11:26:09 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:e0:4c:93:04:9f:08:00 SRC=192.168.0.157 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=23327 PROTO=UDP SPT=138 DPT=138 LEN=209
Nov 25 11:26:15 sop-gw kernel: int-in (default): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:76:dc:7c:02:08:00 SRC=192.168.0.109 DST=192.168.0.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=37609 PROTO=UDP SPT=138 DPT=138 LEN=209
Da dies die ersten einträge sind die ich zu gesicht bekomme bin ich mir nicht ganz sicher was das bedeutet.
Vielleicht könnte mir das ja jemand erklären.

Abschließen hätte ich noch ne frage ob man es bewerkstelligen kann das die log einträge in eine extra datei eintragen werden?

gruß
Nils
Benutzeravatar
ThomasF
Hacker
Hacker
Beiträge: 578
Registriert: 1. Mai 2004, 12:37
Wohnort: Köln

Beitrag von ThomasF »

Hehe,

wilkommen im Club ... ;-)

Die /etc/services ist Dein Freund ...

Code: Alles auswählen

netbios-ns      137/tcp    # NETBIOS Name Service
netbios-ns      137/udp    # NETBIOS Name Service
netbios-dgm     138/tcp    # NETBIOS Datagram Service
netbios-dgm     138/udp    # NETBIOS Datagram Service
netbios-ssn     139/tcp    # NETBIOS Session Service
netbios-ssn     139/udp    # NETBIOS Session Service
Und mit der Info von DST x.x.x.255 ist klar das es Broadcast ist.

Also um es kurz zu machen, sind das Rundsendungen von Windows-Rechnern mit NETBIOS.

So long

ThomasF
______________________

Ich bin /root, ich darf das !
capser
Member
Member
Beiträge: 62
Registriert: 22. Nov 2004, 10:09

Beitrag von capser »

Hi erstmal vielen Dank für die Antwort,

eigentlich ja nichts schlimmes, da ich sonst ja aber immer nicht so auf dem traffic im Netz geachtet habe dochnochmal ne frage.

Ist es normal das soviele Rundfragen gesetzt werden oder kann das auch ein Wurm im Netz sein?

Vielleicht hat daz ja noch jemand ne Antwort parat wäre für Hilfe natürlich dankbar.

Eventuell kennt ja auch noch jemand ein paar scripte womit man solche logs auswerten kann.
Also falls jemand sowas kennt ist natürlich einfacher als selber welche zu schreiben.
Benutzeravatar
ThomasF
Hacker
Hacker
Beiträge: 578
Registriert: 1. Mai 2004, 12:37
Wohnort: Köln

Beitrag von ThomasF »

Hmm

ich nochmal ;-)

Also NETBIOS Rundsendungen auf Port 137 sind nur für die Namesauflösung. Wenn Du also keinen WINS Server hast und den auf den Clients einträgst entstehen schon ziemlich viele solche Rundsendungen. Also nichts schlimmes ;-)
Ein Wurm über diesen Port halte ich für eher unwahrscheinlich, die anderen Windows-Ports sind da eher für bekannt.

Um Logs auszuwerten gibt es vieeeele Tools ....
Schau doch mal in die aktuelle Linux-Magazin, da ist ein Bericht darüber (noch nicht online verfügbar)

Aber Google ist auch Dein Freund ... oder suche einfach auf sourceforge.net nach iptables oder netfilter.

So long

ThomasF
______________________

Ich bin /root, ich darf das !
Antworten