Message-ID: <19971116234618.41428@desire.argh.org>
Date: Sun, 16 Nov 1997 23:46:18 +0100
From: Alexander Koch <efraim@argh.org>
To: linux-ger@infodrom.north.de
Subject: tcpdump- fragen.
Hiya.
Wie kann ich einen tcpdump laufen lassen, so dass er mir einigermassen
zuverlaessig verdaechige pakete (aka winnuke) filtert?
soweit bin ich schon:
tcpdump -a -i eth0 -tt -vv 'dst port 139'
das loggt alles mit dest port 139, dass ist aber relativ viel, weil
hier im wohnheim fast nur windows- kisten rumschwirren.
was ist fuer ein winnuke charakteristisch? ich kann das hier nicht
ausprobieren, wenn hier noch ein host mehr stirbt, gibt es aerger...
kennt sich hier jemand damit besser aus? ausser einer weiteren
einschraenkung auf ip-bereiche, aus denen es kommen wird, faellt mir
nichts ein und dass sieht so nichtssagend aus. nachher installiert der
wahrscheinlich noch samba, dann ist 139 bei ihm auch noch dauer-voll.
Alexander
-- "Luck is my middle name. Mind you, my first name is Bad." -Rincewind in Interesting Times (a book by Terry Pratchett) Alexander Koch - <>< - aka Efraim - PGP - 0xA78FB1E9 - Wedel - Germany