polomcse 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Hallo Leute, ich habe einen Rechner im Netz (Windows 2000), der mir im Ereignisprotokoll auf dem Server (w3K)hunderte von An- und Abmeldungen des Benutzers protokolliert. Ich habe mal ein netstat -an an der Workstation laufen lassen und dabei folgendes bekommen: Proto Lokale Adresse Remoteadresse Status TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1049 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1057 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1145 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1149 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1151 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1158 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:1179 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:2868 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:5225 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:5226 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:5679 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:8008 0.0.0.0:0 ABHÖREN TCP 127.0.0.1:1179 127.0.0.1:5226 HERGESTELLT TCP 127.0.0.1:5226 127.0.0.1:1179 HERGESTELLT TCP 127.0.0.1:8005 0.0.0.0:0 ABHÖREN TCP 192.168.1.13:1066 192.168.1.10:135 WARTEND TCP 192.168.1.13:1070 192.168.1.3:135 WARTEND TCP 192.168.1.13:1074 192.168.1.3:53 WARTEND TCP 192.168.1.13:1079 192.168.1.10:53 WARTEND TCP 192.168.1.13:1094 207.46.253.93:80 WARTEND TCP 192.168.1.13:1099 213.254.235.30:80 WARTEND TCP 192.168.1.13:1100 213.254.235.30:80 WARTEND TCP 192.168.1.13:1129 192.168.1.10:445 WARTEND TCP 192.168.1.13:1136 192.168.1.3:135 WARTEND TCP 192.168.1.13:1137 192.168.1.3:1025 WARTEND TCP 192.168.1.13:1140 192.168.1.3:445 WARTEND TCP 192.168.1.13:1144 192.168.1.3:389 WARTEND TCP 192.168.1.13:1145 192.168.1.10:445 HERGESTELLT TCP 192.168.1.13:1148 192.168.1.10:445 WARTEND TCP 192.168.1.13:1149 192.168.1.10:445 HERGESTELLT TCP 192.168.1.13:1151 192.168.1.3:445 HERGESTELLT TCP 192.168.1.13:1155 192.168.1.4:445 WARTEND TCP 192.168.1.13:1158 192.168.1.4:445 HERGESTELLT TCP 192.168.1.13:1161 192.168.1.10:135 WARTEND TCP 192.168.1.13:1162 192.168.1.10:1154 WARTEND TCP 192.168.1.13:1163 192.168.1.10:135 WARTEND TCP 192.168.1.13:1164 192.168.1.10:1025 WARTEND TCP 192.168.1.13:1165 192.168.1.10:1025 WARTEND TCP 192.168.1.13:1168 192.168.1.10:135 WARTEND ................... LISTE GEKÜRZT....DAS GEHT NOCH MUNTER SO WEITER bis 1195 UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1027 *:* UDP 0.0.0.0:1038 *:* UDP 0.0.0.0:1039 *:* UDP 0.0.0.0:1045 *:* UDP 192.168.1.13:500 *:* Die 192.168.1.10 ist der Server (DNS-Server). WAS UM HIMMELS WILLEN SIND DAS ALLES FÜR PORTS, DIE DORT AUF WARTEND STEHEN?? Die Ports selber wechseln sich auch immer wieder ab, mal sind es weniger mal mehr...!! Virenscanner hat natürlich nichts gefunden, Patchstand ist aktuell. Ich habe auch schon fport rüber laufen lassen, die PID zeigt auch svchost.exe. Auf dem Rechner hatte der Anwender (der Chef selber...) BEAR SHARE installiert, davon sollte aber eigendlich nichts mehr am laufen sein! Wer hat mir einen Tip (ausser reinstall)? DANKE Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Hi Steht doch alles hier: Dienste und Netzwerk-Port-Anforderungen für das Microsoft Windows-Serversystem Die meisten Ports scheinen auf den ersten blick alle MS Dienste zu sein - also nichts wildes. ;) Gruss Velius Zitieren Link zu diesem Kommentar
polomcse 10 Geschrieben 31. Oktober 2005 Autor Melden Teilen Geschrieben 31. Oktober 2005 Hi, also ich habe noch an keinem "normalen" Windows PC eine solche Menge von Ports im Status "Wartend" gesehen. Warum ich an der Workstation ja überhaupt was gesucht habe, war das er mir jede Minute einige An-Meldungen auf dem Server protokolliert: z.B. Erfolgreiche Netzwerkanmeldung: Benutzername: Username Domäne: Domäne Anmeldekennung: (0x0,0xCD40E5F) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: Computername Anmelde-GUID: - Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: 192.168.1.13 Quellport: 1802 Der Quellport ändert ständig seinen Wert.... Ich habe darauf keinen Reim... Gruß POLO Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. Oktober 2005 Melden Teilen Geschrieben 31. Oktober 2005 Ist ja auch ein Server oder? Ausserdem ist der Quellport zu 99.99% dynamisch, der Zielport aber nicht ;) Zitieren Link zu diesem Kommentar
polomcse 10 Geschrieben 31. Oktober 2005 Autor Melden Teilen Geschrieben 31. Oktober 2005 Der Auszug aus dem Ereignisprotokoll ist vom Server, richtig. Aber keiner der anderen Clients verursacht dermassen viele AN- und ABmelde Einträge wie dieser besagte. Und das systematische auf und ab mit den Quellports habe ich in diesem Umfang noch nicht gesehen: ..... TCP 192.168.1.13:1173 192.168.1.10:135 WARTEND TCP 192.168.1.13:1174 192.168.1.10:135 WARTEND TCP 192.168.1.13:1175 192.168.1.10:135 WARTEND TCP 192.168.1.13:1176 192.168.1.10:135 WARTEND TCP 192.168.1.13:1177 192.168.1.10:135 WARTEND TCP 192.168.1.13:1181 192.168.1.10:135 WARTEND TCP 192.168.1.13:1182 192.168.1.10:135 WARTEND TCP 192.168.1.13:1183 192.168.1.10:135 WARTEND TCP 192.168.1.13:1184 192.168.1.10:135 WARTEND TCP 192.168.1.13:1185 192.168.1.10:135 WARTEND TCP 192.168.1.13:1186 192.168.1.10:135 WARTEND TCP 192.168.1.13:1187 192.168.1.10:135 WARTEND TCP 192.168.1.13:1189 192.168.1.10:135 WARTEND .... ?? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 1. November 2005 Melden Teilen Geschrieben 1. November 2005 135 = RPC-Calls...... Ereignisanzeige? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. November 2005 Melden Teilen Geschrieben 1. November 2005 Lade dir mal den TCPView von http://www.sysinternals.com runter, der zeigt dir die Prozesse an, die die Ports belegen. grizzly999 Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 1. November 2005 Melden Teilen Geschrieben 1. November 2005 Die Ports ab 1066 sind keine "offenen" Ports sondern abgehende dynamische Ports. Wenn Du eine TCP-Verbindung zu einem Remote-Port aufbauen willst, benötigst Du einen deizierten Port für die Verbindnung, damit der Client antworten kann. Dazu schnappt der IP-Stack sich den nächsten freien Port und stellt über den die Verbindung zu dem Remote-Port her. Der Stack erwartet nun auf diesem Port die Antwort vom Client. Der Stack sollte auch nur eine Antwort vom adressierten Remote-Host annehmen. Im Gegensatz dazu das verbindungslose UDP-Protokoll. Details findest Du hier. http://de.wikipedia.org/wiki/Transmission_Control_Protocol http://de.wikipedia.org/wiki/User_Datagram_Protocol -Zahni Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 1. November 2005 Melden Teilen Geschrieben 1. November 2005 Auch UDP verwendet Quell-Ports. Im Gegensatz zu TCP wird aber kein Three-Way Handshake benutzt um zu prüfen, ob die Daten auch wirklich angekommen sind. Grizzlys Idee ist hier wohl am meisten angebracht, sollten wirklich so aussergewöhnlich viele Ports abgehört (wartet auf Antwort) und nicht mehr geschlossen werden. Meiner Meinung nach müsste das aber auch klar in den Events zu sehen sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.