ntoskrnl.exe redet mit anderen IPs - Was darf sein - LAN / Prozesse Grundlagen

[b11ck 10]

Hallo!

 

Hätte da mal ein paar recht allgemeine Fragen. Will mir netzwerktechnisch etwas mehr Knowledge beibringen.

 

Habe hier 2 W2K3 Systeme. Eins könnte u. U. kompromitiert sein, das andere sollte es eigentlich nicht sein.

Beide Systeme hängen am Internet und funkten auch immer mal wieder nach draussen. Hab mal mitgesniffert - bin aber noch nicht so fit mit den Ergebniss-Interpretationen - und mit TCPVIEW die Teile genauer betrachtet mit dem Ziel nur noch das zuzulassen, was sein darf.

 

Ich habe beobachtet, dass bei beiden Systemen auch die ntoskrnl.exe (das ist doch Prozess system:4, oder?) geglegentlich mit dem Inet redet. Auf System B (hoffentlich unkompromitiert) läuft ein Internet-Server. Wenn ein User die Internet-Seite über das Internet aufruft, wird eine Verbindung auf system:4 gemeldet. Auch [system Process]:0 redet manchmal mit dem Internet, hier war es aber jedes mal der Pop-3 Connector des Exchange, der auf den POP-Server geht. Was ist "[system Process]:0" überhaupt?

 

Ansonsten habe ich Verkehr zu den Root-DNS-Server beobachtet, allerdings auch zu diversen anderen Adressen, die ich nicht ganz blicke. Meine bisherigen Googlereien haben noch das igmp-Protokoll zu Tage gefordert, sowie das SDP-Protokoll.

 

Lange Rede kurzer Sinn: Gibt es Quellen, die mir sagen können, was sein darf und was nicht? Ich sehe in TCPVIEW kein Zugriff, wenn ich von einem Client aus eine Inet-Seite aufrufe, im Sniff finde ich jedoch was. Der DNS auf dem Server muss doch eigentlich zur Auflösung in das Inet, oder? Welcher Prozess macht denn das normalerweise? So viele Fragen.

 

Kurze Quellenhinweise reichen mir auch, erwarte selbstverständlich kein Referat ;-)

 

Wünsche noch schönen Feiertag und vielen Dank im Voraus.

 

Viele Grüsse

 

b11ck