Hallo,
ich habe shorewall auf einem Fileserver laufen und eine IP Adresse geblacklisted.
in ntop taucht die Adresse trotzdem noch auf, allerdings nur mit 90 byte traffic received.
Heißt das der Rechner sendet ein paar byte und wird dann geblockt, oder habe ich ein Loch?
Danke
ntop Anzeige
-
Kelpin
- Beiträge: 533
- Registriert: 27.07.2004 10:13:23
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Otterbach/Pfalz
ntop Anzeige
---------------------------------------------------
Nothing is foolproof to a sufficiently talented fool
Nothing is foolproof to a sufficiently talented fool
Ein TCP Packet hat eine Mindestgröße von ca 66 Byte:
14 byte Ethernet Header + 20 byte IP Header + 32 byte TCP Header
(muß jetzt nicht auf das Byte genau sein, aber die Größenordnung stimmt).
Daher wurde maximal ein TCP Paket von dieser IP Adresse empfangen. Zum Aufbau einer TCP Verbindung werden aber vom Client schon einmal mindestens zwei Pakete benötigt (3way handshake). Daher kann keine TCP Verbindung zustande gekommen sein.
Gruß
gms
14 byte Ethernet Header + 20 byte IP Header + 32 byte TCP Header
(muß jetzt nicht auf das Byte genau sein, aber die Größenordnung stimmt).
Daher wurde maximal ein TCP Paket von dieser IP Adresse empfangen. Zum Aufbau einer TCP Verbindung werden aber vom Client schon einmal mindestens zwei Pakete benötigt (3way handshake). Daher kann keine TCP Verbindung zustande gekommen sein.
Gruß
gms
-
Kelpin
- Beiträge: 533
- Registriert: 27.07.2004 10:13:23
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Otterbach/Pfalz
Danke
Aha, wieder was gelernt. Danke auch ich bleibe wachsam 
.
Gruß
.Gruß
---------------------------------------------------
Nothing is foolproof to a sufficiently talented fool
Nothing is foolproof to a sufficiently talented fool