/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Netstat ?
Fra : rea721


Dato : 12-09-02 20:17

Hej
Jeg har lige prøvet "netstat -a" og konstateret at der står :

1364 Server Trixie.romanweb.com 80 Server established ??

Hvad dælen er det..... og burde jeg være bekymret ?

Bruger Zonealarm og kan ikke se at jeg har tilladt nogen serverer ud over
FTP.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


 
 
Kasper Dupont (12-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 12-09-02 22:03

rea721 wrote:
>
> Hej
> Jeg har lige prøvet "netstat -a" og konstateret at der står :
>
> 1364 Server Trixie.romanweb.com 80 Server established ??

Øh, hvad betyder felterne? Det ligner ikke det normale output
format fra netstat kommandoen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

rea721 (12-09-2002)
Kommentar
Fra : rea721


Dato : 12-09-02 23:05

Kasper Dupont wrote:

> Øh, hvad betyder felterne? Det ligner ikke det normale output
> format fra netstat kommandoen.

Ok, så får du dem her

Proto Lokal adresse Fjernadresse status
TCP Server:1364 Trixie.romanweb.com:80 Established

Sådan står det med kommandoen netstate -a i en dos box under win98

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Asbjorn Hojmark (12-09-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 12-09-02 23:43

On Fri, 13 Sep 2002 00:04:56 +0200, "rea721" <leon@721.dk> wrote:

> Proto Lokal adresse Fjernadresse status
> TCP Server:1364 Trixie.romanweb.com:80 Established

Din maskine (Server) har lavet en forbindelse til en anden
(Trixie) på port 80. Mest sandsynligt er det en HTTP-forbindelse,
altså web, men hvorfor den gør det, kan du ikke se i det output.

-A
--
http://www.hojmark.org/

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 13:52

Asbjorn Hojmark wrote:

> Din maskine (Server) har lavet en forbindelse til en anden
> (Trixie) på port 80. Mest sandsynligt er det en HTTP-forbindelse,
> altså web, men hvorfor den gør det, kan du ikke se i det output.

Ok. Hvordan får jeg det afbrudt... eller er det bare ligegyldigt?

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Kent Friis (13-09-2002)
Kommentar
Fra : Kent Friis


Dato : 13-09-02 16:14

Den Fri, 13 Sep 2002 14:52:08 +0200 skrev rea721:
>Asbjorn Hojmark wrote:
>
>> Din maskine (Server) har lavet en forbindelse til en anden
>> (Trixie) på port 80. Mest sandsynligt er det en HTTP-forbindelse,
>> altså web, men hvorfor den gør det, kan du ikke se i det output.
>
>Ok. Hvordan får jeg det afbrudt... eller er det bare ligegyldigt?

Normalt afbrydes www-forbindelser ved at man lukker Internet Explorer
(og Netscape og Opera og ...)

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 19:03

Kent Friis wrote:

> Normalt afbrydes www-forbindelser ved at man lukker Internet Explorer
> (og Netscape og Opera og ...)

Ja det gør den så ikke... men jeg genstartede min server.. og lavede en

C:\WINDOWS>netstat

Aktive tilslutninger

Proto Lokal adresse Fjernadresse Status
TCP server:1034 ns.kyed.dk:80 CLOSE_WAIT
TCP server:1043 localhost:129 TIME_WAIT
TCP server:1046 localhost:44333 TIME_WAIT

og fandt ns.kyed.dk ?? Nu er jeg ved at være forvirret.. lavede en
tracert på ns.kyed.dk , og fandt ud af at det er en Proaccess kunde.

C:\WINDOWS>
ns.kyed.dk [80.62.66.233]

inetnum: 80.62.64.0 - 80.62.75.255
netname: DK-TELEDANMARK-PROACCESS-ADSL
descr: Local assignments for Proaccess ADSL
country: DK
admin-c: AS5071-RIPE
tech-c: AS5071-RIPE
status: LIR-PARTITIONED PA
mnt-by: TDK-MNT
mnt-lower: TDK-MNT
source: RIPE
changed: auto-ripe@ip.tele.dk 20020612

Resatte så mit "modem" og så var de fjernet..... så hvad det har været...og
om jeg har noget snavs liggende på putteren ved jeg ikke rigtigt.... men
venter og ser.

Tak for hjælpen indtil nu.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Kent Friis (13-09-2002)
Kommentar
Fra : Kent Friis


Dato : 13-09-02 19:08

Den Fri, 13 Sep 2002 20:02:40 +0200 skrev rea721:
>Kent Friis wrote:
>
>> Normalt afbrydes www-forbindelser ved at man lukker Internet Explorer
>> (og Netscape og Opera og ...)
>
>Ja det gør den så ikke... men jeg genstartede min server.. og lavede en
>
>C:\WINDOWS>netstat
>
>Aktive tilslutninger
>
>Proto Lokal adresse Fjernadresse Status
>TCP server:1034 ns.kyed.dk:80 CLOSE_WAIT
>TCP server:1043 localhost:129 TIME_WAIT
>TCP server:1046 localhost:44333 TIME_WAIT
>
>og fandt ns.kyed.dk ?? Nu er jeg ved at være forvirret.. lavede en
>tracert på ns.kyed.dk , og fandt ud af at det er en Proaccess kunde.

Det er en af de authoritative navneservere for dyndns.dk, men jeg
kan ikke lige se hvad du skal med en http til en navneserver.

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 19:20

Kent Friis wrote:

> Det er en af de authoritative navneservere for dyndns.dk,

Ok det lider rigtigt...den bruger jeg til min nyhedsserver.

> men jeg kan ikke lige se hvad du skal med en http til en navneserver.

Nææ, men den forsvandt jo også..... hvor den så end kom fra.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Christian Andersen (13-09-2002)
Kommentar
Fra : Christian Andersen


Dato : 13-09-02 19:22

rea721 wrote:

>> Det er en af de authoritative navneservere for dyndns.dk,

>> men jeg kan ikke lige se hvad du skal med en http til en navneserver.

> Nææ, men den forsvandt jo også..... hvor den så end kom fra.

Bruger du et opdateringsscript i din start-up for at opdatere din IP-adresse
til dyndns?

Det kan være det.

--
..signature

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 20:38

Christian Andersen wrote:

> Bruger du et opdateringsscript i din start-up for at opdatere din
> IP-adresse til dyndns?
> Det kan være det.

Ja jeg bruger Dynsite for windows.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Allan Olesen (13-09-2002)
Kommentar
Fra : Allan Olesen


Dato : 13-09-02 23:50

"rea721" <leon@721.dk> wrote:

>Ja jeg bruger Dynsite for windows.

Jeg aner ikke, hvordan Dynsite fungerer, men du kan i hvert fald
opdatere en dyndns.dk-adresse med et http-kald. Det bruger jeg
selv.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (13-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 13-09-02 23:57

Kent Friis wrote:
>
> Det er en af de authoritative navneservere for dyndns.dk, men jeg
> kan ikke lige se hvad du skal med en http til en navneserver.

Opdatere IP addressen. Jeg bruger det selv, så jeg ved, at det er
den måde, dyndns.dk fungerer på.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Kent Friis (14-09-2002)
Kommentar
Fra : Kent Friis


Dato : 14-09-02 07:59

Den Sat, 14 Sep 2002 00:56:48 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Det er en af de authoritative navneservere for dyndns.dk, men jeg
>> kan ikke lige se hvad du skal med en http til en navneserver.
>
>Opdatere IP addressen. Jeg bruger det selv, så jeg ved, at det er
>den måde, dyndns.dk fungerer på.

Det skal vel ikke gå til samtlige navneservere? Så vidt jeg ved går
det da kun til dyndns.dk?

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

Kasper Dupont (14-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 14-09-02 10:35

Kent Friis wrote:
>
> Den Sat, 14 Sep 2002 00:56:48 +0200 skrev Kasper Dupont:
> >Kent Friis wrote:
> >>
> >> Det er en af de authoritative navneservere for dyndns.dk, men jeg
> >> kan ikke lige se hvad du skal med en http til en navneserver.
> >
> >Opdatere IP addressen. Jeg bruger det selv, så jeg ved, at det er
> >den måde, dyndns.dk fungerer på.
>
> Det skal vel ikke gå til samtlige navneservere? Så vidt jeg ved går
> det da kun til dyndns.dk?

Ja, og det var jo lige nøjagtigt det, den gjorde.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Kent Friis (14-09-2002)
Kommentar
Fra : Kent Friis


Dato : 14-09-02 10:54

Den Sat, 14 Sep 2002 11:35:20 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Sat, 14 Sep 2002 00:56:48 +0200 skrev Kasper Dupont:
>> >Kent Friis wrote:
>> >>
>> >> Det er en af de authoritative navneservere for dyndns.dk, men jeg
>> >> kan ikke lige se hvad du skal med en http til en navneserver.
>> >
>> >Opdatere IP addressen. Jeg bruger det selv, så jeg ved, at det er
>> >den måde, dyndns.dk fungerer på.
>>
>> Det skal vel ikke gå til samtlige navneservere? Så vidt jeg ved går
>> det da kun til dyndns.dk?
>
>Ja, og det var jo lige nøjagtigt det, den gjorde.

Doh, jeg havde ikke lige set at en reverse lookup på dyndns.dk's
ip-nummer resolver til ns.kyed.dk.

Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!

Kasper Dupont (13-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 13-09-02 10:52

rea721 wrote:
>
> Kasper Dupont wrote:
>
> > Øh, hvad betyder felterne? Det ligner ikke det normale output
> > format fra netstat kommandoen.
>
> Ok, så får du dem her
>
> Proto Lokal adresse Fjernadresse status
> TCP Server:1364 Trixie.romanweb.com:80 Established

Når man kontakter webserveren får man en side med følgende
indhold: "No web site is configured at this address."

Der kan være tale om en server med forskellige virtuelle
servere men intet på default serveren. Der er ikke umiddelbart
nogen måde at finde ud af hvilke virtuelle servere den
kører.

Alternativt kunne man forestille sig, at det skyldes en af de
orme, der spreder sig via IIS. Jeg ved dog ikke, hvordan
symptomerne ser ud på en inficeret maskine, jeg kender kun
indgangene i min egen webserver log. Men hvis 80.196.143.169
er din IP addresse, så kører den tilsyneladende ingen HTTP
server, så denne forklaring er nok usandsynlig.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 13:56

Kasper Dupont wrote:

> 80.196.143.169
> er din IP addresse, så kører den tilsyneladende ingen HTTP
> server, så denne forklaring er nok usandsynlig.

Nej jeg køre ingen http server... mystisk.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Kasper Dupont (13-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 13-09-02 14:41

rea721 wrote:
>
> Kasper Dupont wrote:
>
> > 80.196.143.169
> > er din IP addresse, så kører den tilsyneladende ingen HTTP
> > server, så denne forklaring er nok usandsynlig.
>
> Nej jeg køre ingen http server... mystisk.

Det er der ikke noget mystisk i, det betyder blot, at der
må være en anden forklaring.

Den pågældende linie fortæller ikke, at du kører en HTTP
server, men derimod at du har en åben forbindelse til en
HTTP server.

Havde har du af åbne programmer, som gør brug af HTTP.
På Linux kan man få oplyst hvilket program, der har
forbindelsen åben ved at bruge -p til netstat. Kan man
også det på windows?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 16:06

Kasper Dupont wrote:

> Havde har du af åbne programmer, som gør brug af HTTP.
> På Linux kan man få oplyst hvilket program, der har
> forbindelsen åben ved at bruge -p til netstat. Kan man
> også det på windows?

************
C:\WINDOWS>netstat -p giver ingenting men..

C:\WINDOWS>netstat -r

Giver bla den her :

Aktive tilslutninger

Proto Lokal adresse Fjernadresse Status
TCP server:1602 trixie.romanweb.com:80 ESTABLISHED

*****
Så det ser vel ud til at der rent faktisk _er_ en forbindelse ??

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Ole (13-09-2002)
Kommentar
Fra : Ole


Dato : 13-09-02 12:22

rea721 wrote

> Proto Lokal adresse Fjernadresse status
> TCP Server:1364 Trixie.romanweb.com:80 Established

Det jeg har kunnet finde er dette ( nu ved jeg ikke om man må vise det)

| 157.130.76.238 | bellsouth-atl-gw.customer.alter.net | Atlanta, GA, USA
| -05:00 | 17 | -x-- | UUNET Technologies, Inc. UUNETCUSTB40 |
| 205.152.37.89 | - | ...
| | 27 | --x | BellSouth.net Inc. BELLSNET-BLK1 |
| 172.25.45.158 | - | ...
| | 41 | -x-- | (private use) |
| | | |
| | | | |
| 68.16.64.30 | trixie.romanweb.com | ...
| | | | Bellsouth.net, Inc.

Det tyder på at det er den du søger, det er vist nok en intern adresse i
Bellsoutt.net som er NETWORK solution

Vh.
Ole



rea721 (13-09-2002)
Kommentar
Fra : rea721


Dato : 13-09-02 13:56

Ole wrote:

> Det tyder på at det er den du søger, det er vist nok en intern
> adresse i Bellsoutt.net som er NETWORK solution

Tak.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.


Ole (13-09-2002)
Kommentar
Fra : Ole


Dato : 13-09-02 12:50

Beklager rodet det er det der med at copy/paste og så ændre i det.

Det skal se ca. sådan her ud:

|IP Address | Node Name | Location |Tzone
|ms|Graph| Network
157.130.76.238 | bellsouth-atl-gw.customer.alter.net|Atlanta, GA,
USA| -05:00|17| -x--|UUNET Technologies,Inc. UUNETCUSTB40
205.152.37.89 | - | ... |
|27| --x | BellSouth.net Inc. BELLSNET-BLK1
172.25.45.158 | - | ... |
|41| -x--| (private use)
68.16.64.30 | trixie.romanweb.com | ... |
| | | Bellsouth.net, Inc.

Vh.
Ole



Ole (13-09-2002)
Kommentar
Fra : Ole


Dato : 13-09-02 13:30

Ja, ja jeg ved det godt

JEG GI'R OP



Madsen (13-09-2002)
Kommentar
Fra : Madsen


Dato : 13-09-02 15:19

Kasper Dupont skrev:

> På Linux kan man få oplyst hvilket program, der har
> forbindelsen åben ved at bruge -p til netstat. Kan man
> også det på windows?

På WinXP (Pro) har man følgende muligheder med Netstat:

NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval]

-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with
the -s option.
-n Displays addresses and port numbers in numerical form.
-o Displays the owning process ID associated with each
connection.
-p proto Shows connections for the protocol specified by proto;
proto may be any of: TCP, UDP, TCPv6, or UDPv6.
If used with the -s option to display per-protocol
statistics, proto may be any of: IP, IPv6, ICMP, ICMPv6,
TCP, TCPv6, UDP, or UDPv6.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics
are shown for IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, and
UDPv6; the -p option may be used to specify a subset of
the default.
interval Redisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.

--
Med venlig hilsen
Madsen.

Kasper Dupont (14-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 14-09-02 00:00

Madsen wrote:
>
> Kasper Dupont skrev:
>
> > På Linux kan man få oplyst hvilket program, der har
> > forbindelsen åben ved at bruge -p til netstat. Kan man
> > også det på windows?
>
> På WinXP (Pro) har man følgende muligheder med Netstat:
>
> NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [interval]
>
> -a Displays all connections and listening ports.
> -e Displays Ethernet statistics. This may be combined with
> the -s option.
> -n Displays addresses and port numbers in numerical form.
> -o Displays the owning process ID associated with each
> connection.
> -p proto Shows connections for the protocol specified by proto;

Det er da utroligt, som Microsoft insiterer på at gøre alting
anderledes end alle andre. Det lyder som om, det er -o, vi skal
have fat i.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

J Hansen (13-09-2002)
Kommentar
Fra : J Hansen


Dato : 13-09-02 19:35

On Thu, 12 Sep 2002 21:16:44 +0200, "rea721" <leon@721.dk> wrote:

>Hej
>Jeg har lige prøvet "netstat -a" og konstateret at der står :
>
>1364 Server Trixie.romanweb.com 80 Server established ??
>
>Hvad dælen er det..... og burde jeg være bekymret ?


Prøv evt. prg. Active Ports
http://www.protect-me.com/freeware.html

Den kan vise hvilke prg. der bruger hvilke porte


Med venlig hilsen
Jimmy hansen

Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste