Gaijin.at -
Tipp: Verwalten Sie Ihre Software-Projekte mit DevProject Manager?
Mit Programm-Buttons für Ihre Webseite unterstützen Sie die Weiterentwicklung.
Artikel
Artikel:
Alternative Datenströme (ADS)
BIOS und BIOS-Passwörter
Dateiformate
Expert Witness Compression
Internet Explorer Cookies
Internet Explorer Favoriten
Internet Explorer URL Cache
Mozilla Berechtigungen
Mozilla Chronik (History)
Mozilla Cookies
Mozilla Lesezeichen
Opera Verlauf
Opera Lesezeichen
Windows Papierkorb (INFO2)
Zugriffe auf Wechseldatenträger
Digitale Fußspuren
File-Sharing
Google Hacks
Hoaxes erkennen
HTTP-Statuscodes
Internet-Programme
Internet-Protokolle
Mail-Header
Passwortsicherheit
Sicherheit im E-Mail-Verkehr
Sicherheit im Internet
Sicherheiteinstellungen für den IE
Spam-Mails
Steganoanalyse bei Bitmap-Bilder
Trojaner erkennen & entfernen
WHOIS - Beschreibung
Windows NT / XP
Windows NT: Die Datei "Boot.ini"
Windows XP: Leistung
Windows XP: Sicherheit
Windows XP: Systemdienste
Windows XP: Tipps & Tricks
Listen:
Dateinamenerweiterungen
Top-Level-Domänen (TLDs)
Benannte Portnummern
Portnummern 1 - 499
Portnummern 500 - 1499
Portnummern 1500 - 1999
Portnummern 2000 - 3999
Portnummern 4000 - 9999
Portnummern 10000 - Ende
Portnummern diverser Trojaner
Windows-Versionsnummern


Partnerseiten
Windows-Tweaks
Weitere Partnerseiten...

-

Internet-Programme

Inhalt

Finger
Netcat
Netstat
Ping
Portscanner
Telnet
Herunterladen von Webseiten mit Telnet
Tracert

Finger

Um Finger zu nutzen, verbindet man sich mit Telnet zu einem Host, der den Finger-Befehl unterstützt. Dies geschieht mit dem Befehl telnet [host] 79. Anschließend gibt man den Benutzernamen, beispielsweise Joe_Smith oder finger Joe_Smith ein. Man sollte mit jedem der beiden Befehle das gleiche Resultat erhalten, als würde man finger Joe_Smith@xxx.ISP.net eingeben.

Ein paar Fingerprogramme antworten auch auf die Befehle:

finger @xxx.ISP.net finger
finger @
finger 0
finger root
finger bin
finger ftp
finger system
finger guest
finger demo
finger manager

oder auch an Stelle des Finger-Befehls die Enter-Taste drücken.

Sollte man auf ein Fingerprogramm treffen, das alt oder naiv genug ist diese Befehle zu akzeptieren, bekommt man so etwas zurück wie:

[xxx.ISP.net]
Login  Name    TTY  Idle  When       Where
happy  Foobar  co   1d    Wed 08:00  xxx.ISP.net

Manchmal kann es vorkommen, dass das Finger-Programm abstürzt. In einem solchen Fall könnte es sein, dass man Root-Berechtigungen erhält. Darum sollte man von Befehlen wie finger ///*^$ Abstand nehmen.

Auf Grund der Möglichkeit, das Fingerservice zum Absturz zu bringen, sollte ein verantwortungsbewusster Systemadministrator das Fingerservice nicht laufen lassen. Wenn man bei einem ISP ist, der Finger unterstützt, sollte man sich fragen, ob man wirklich den richtigen ISP hat.

Netcat

Netcat ist ein Programm für Windows NT, das auch auf Windows 95/98 läuft. Mit dem Programm werden der Quellcode und unter anderem eine Textdatei mit dem Namen readme.txt mitgeliefert. Man sollte sich diese Datei durchlesen. In der Datei readme.txt sind auch verschiedene Optionen von Netcat angeführt.

Es gibt zwei Möglichkeiten, Informationen mit Netcat zu erhalten. Die erste Möglichkeit besteht in der Eingabe von nc [host] 79 an der Eingabeaufforderung. Dies stellt eine Verbindung zum Host her. Falls eine Verbindung hergestellt werden konnte, das heißt, wenn der Finger-Deamon auf dem Host läuft, erhält man einen Prompt. Hier gibt man den Namen des gewünschten Benutzers ein und drückt die Entertaste.

Die zweite Möglichkeit besteht in der Automatisierung der Vorgänge. Hier muss man zuerst eine Textdatei erstellen, angenommen die Datei root.txt. In diese schreibt man den Benutzernamen, zum Beispiel "root". Nun kann das Netcat-Programm mit nc [host] 79 < root.txt aufgerufen werden. Das Ergebnis erscheint auf dem Bildschirm. Netcat bietet auch die Möglichkeit, das Ergebnis in eine Datei umzuleiten. Hier geht man folgendermaßen vor: nc [host] 79 < root.txt > nc.log. Wenn die Ausgabe einer bereits bestehenden Datei hinzugefügt werden soll, schreibt man: nc [host] 79 < root.txt >> nc.log.

Netstat

Es gibt viele Anwendungsmöglichkeiten für den Netstat-Befehl, z.B. kann Netstat eingesetzt werden, um:

  • die IP eines ICQ-Users herausfinden
  • die eigene IP herausfinden
  • die ICQ-Ports von sich und anderen herausfinden
  • zu überprüfen, ob das System mit einem Trojaner infiziert ist
  • die aktuellen Verbindungen zu überprüfen

Netstat wird ausgeführt indem man eine DOS-Box öffnet und dann an der Eingabeaufforderung netstat eingibt. Die einzelnen Argumente erhält man durch die Eingabe von netstat /?.

Das Argument -a

Mit dem Befehl netstat -a 5 würde die Tabelle alle 5 Sekunden aktualisiert werden. Zum Abbrechen der Ausführung muss die Tastenkombination Strg + C gedrückt werden.

Das Argument -a zeigt alle geöffneten Anschlüsse auf einem Computer an. Es zeigt den Host und den Port des Systems an, mit dem man verbunden ist und ebenfalls die Art der Verbindung:

C:\netstat -a

Proto  Local Adress  Foreign Adress     State
TCP    mase:1031     www.gcf.de:80      ESTABLISHED
TCP    mase:1036     www.heise.de:80    ESTABLISHED
TCP    mase:1052     freemail.com:110   ESTABLISHED
Proto
steht für das genutzte Protokoll, in diesem Fall TCP, es kann aber auch UDP oder IP sein.
Local Adress
bezeichnet den Namen des lokalen Rechners, nach dem Doppelpunkt steht der benutzte Port.
Foreign Adress
zeigt den Namen und den Port des fremden Rechners an, mit dem man verbunden ist, hier: www.gcf.de.
State
zeigt den aktuellen Status an, in diesem Beispiel ESTABLISHED, also HERGESTELLT.

Das Argument -a wird häufig dazu benutzt, Trojaner auf dem System zu entdecken, da man damit geöffnete Ports erkennt.

Das Argument -n

Durch das Argument -n kann man ebenfalls die IP eines ICQ Users herausfinden. Weswegen man auch häufig diese Option wählt, hat den Grund, dass die eigene IP ebenfalls angegeben wird (im Gegensatz zu -a). Man erhält den offenen Port des entfernten Rechners sowie den Port des lokalen Rechners, der dafür bereitgestellt wird:

C:\netstat -n

Proto  Local Adress    Foreign Adress   State
TCP    62.12.2.6:1031  212.23.64.13:80  ESTABLISHED
TCP    62.12.2.6:1036  193.99.14.71:80  ESTABLISHED
TCP    62.12.2.6:1052  76.30.43.70:110  ESTABLISHED

Das Argument -e

Das Argument -e liefert die Ethernet-Statistiken. Empfangene und gesendete Bytes sind selbsterklärend und funktionieren ähnlich wie die Anzeige von der DFÜ-Verbindung, obwohl man beim Vergleichen der Werte geringe Differenzen erkennt:

C:\netstat -e

                        Empfangen      Gesendet
Bytes                     4648645       1376996
Unicast-Pacete              18623         17018
Nicht-Unicast-Pakete          217           232
Verworfen                       0             0
Fehler                          0             0
Unbekannte Protokolle           0

Das Argument -p

Mit dem Argument -p kann man die verschiedenen Protokolle herausfiltern, bzw. sich ein bestimmtes Protokoll anzeigen lassen, z.B. TCP:

C:\netstat -p TCP

Proto  Local Adress  Foreign Adress     State
TCP    mase:1031     www.gcf.de:80      ESTABLISHED
TCP    mase:1036     www.heise.de:80    ESTABLISHED
TCP    mase:1052     freemail.com:110   ESTABLISHED

Ping

Der Befehl Ping ist ein Teil des Internet Control-Message-Protocol, das zu Fehlersuche in TCP/IP-Netzwerken verwendet wird. Die Aufgabe von Ping ist es, einen Remote-Computer anzuweisen, ein gesendetes Ping mit einem Ping zu erwidern. Wenn man ein Ping vom Remote-Computer zurückbekommt, bedeutet das, dass dieser Host "alive", also eingeschaltet und am Netz ist. Weiters geht aus dem Ping-Befehl hervor, wie lange die Übertragung der Daten zum Host und wieder zurück gedauert hat.

Die Basisform des Ping-Befehls ist einfach: ping [Host].

Die Optionen von Ping unter Windows 95 oder höher:

-t
Sendet fortlaufend Ping-Signale zum angegebenen Host.
-a
Adressen zu Hostnamen auswerten.
-n Anzahl
Anzahl zu sendender Echo-Anforderungen.
-l Länge
Pufferlänge senden.
-i TTL
Time To Live.
-v TOS
Type Of Service.
-r Anzahl
Route für Anzahl Abschnitte aufzeichnen.
-s Anzahl
Zeiteintrag für Anzahl Abschnitte.
-j Host-Liste
"Loose Source Route" gemäß Host-Liste.
-k Host-Liste
"Strict Source Route" gemäß Host-Liste.
-w Timeout
Timeout in Millisekunden für eine Antwort.

Einige Angreifer benutzen den Ping-Befehl, um den angegriffenen Host-Rechner auszulasten. Sie verwenden viele Computer und senden pausenlos Pings an den Host. Dieser wird dadurch so sehr beschäftigt, dass er bald nichts mehr anderes machen kann oder sogar abstürzt. Dies geschieht mit dem Befehl ping -f [Host] (UNIX) oder ping -t [Host] (Windows). Dieser Befehl bewirkt, dass ständig Ping-Befehle gesendet werden. Man kann Ping leicht an seinem eigenen Computer testen. Als Host gibt man entweder "localhost" oder die IP-Adresse "127.0.0.1" ein.

Portscanner

Portscanner dienen eigentlich zur Sicherheitsüberprüfung, sind aber genau so Hilfsmitteln um in einen Rechner einbrechen zu können. Ein Portscanner zeigt die geöffneten Ports an einem Rechner an. Sei es nun der lokale Rechner, oder ein entfernter Rechner. Ein Portscanner versucht eine Verbindung über die verschiedenen Ports des Hosts aufzubauen.

Es gibt zwei verschiedene Arten von Portscannern:

Die für den Angreifer nicht so vorteilhafte Variante ist ein normaler Portscanner. Jeder dieser Portscanner baut auf dem primitiven Schema eines Handshakes eine Verbindung zum Ziel auf. Da ein solcher Portscanner aber keinen vollständigen "three-part Handshake" vollzieht, sondern mitten in der Sitzung abbricht, können eventuell verwendete Sicherheitstools solche Attacken aufspüren, welche auch sofort Gegenmaßnahmen eingreifen können, wie z.B. die IP-Adresse des Angreifers ermitteln.

Andererseits bieten sich aber auch Scanner an, die nicht so offensichtlich nach offenen Ports suchen. Der Gebrauch eines Portscanner für die eigene Sicherheit, um beim eigenen Computer zu schauen welche Ports gerade benutzt werden, bzw. offen sind (z.B. die Suche nach trojanischen Pferden) ist natürlich ohne jeden Nachteil.

Telnet

Das Telnet-Programm kann man in einer DOS-Box mit dem Befehl telnet [host] [port] aufrufen. Es ist allerdings einfacher, wenn man die Datei telnet.exe in das Startmenü einbindet, um es von Windows direkt aufzurufen. Telnet ist nicht das einzige Programm dieser Art. Wer ein besseres Programm zur Verfügung hat, wie z.B. EasyTerm etc., sollte dieses verwenden. Die Unterschiede bei den Einstellungen werden nur geringfügig sein. Egal was auch immer man mit Telnet vorhat, man sollte zuerst die Protokollierung einschalten. Damit kann die Arbeitssitzung später offline betrachtet werden. Die Ergebnisse können später kopiert und in anderen Programmen und Dokumenten einfügt und gegebenenfalls nachbearbeitet werden.

Telnet benötigt zum Aufbau einer Verbindung einige Angaben. Das ist erstens der anzuwählende Host-Rechner und zweitens der Port (Anschluss), über den die Verbindung hergestellt werden soll. Weiters sollte als Terminaltyp VT100 eingestellt sein und die Funktion "Terminal echo on" aktiviert sein. Wenn man dann auf "Verbinden" bzw. "Ok" klickt, wird die Verbindung zum angegebenen Rechner hergestellt. Falls eine Verbindung mit dem Host aufgebaut werden kann, gibt es drei Möglichkeiten die dann eintreten können. Zum einen kann der Host die Verbindung sofort wieder trennen, wenn z.B. der angegebene Port nicht verfügbar ist. Falls der Port verfügbar ist und ein Dienst für diesen Port eingerichtet ist, kann der Bildschirm unverändert bleiben, dann wartet der Host-Rechner auf eine Eingabe. Und schließlich kann eine Meldung auf dem Bildschirm erscheinen, die Auskunft über den Computer und den angewählten Dienst (z.B. FTP) gibt. Zusätzlich kann auch eine Anmeldung erforderlich.

In Telnet sind folgende Ports benannt:

daytime
Liefert das Datum und die Uhrzeit des Host-Rechners zurück
echo
Liefert die selben Zeichen zurück, die eingegeben wurden
qotd
Zeigt das Zitat des Tages an
chargen
Zeigt Infos an, die bei Netzwerkproblemen hilfreich sind
telnet
Zeigt einen Login-Bildschirm an

Einige der gebräuchlichsten Ports sind:

21
ftp
25
smtp
79
finger
80
http
110
pop3
8080
http (alternativ)

Wenn man sich mit "smtp" oder "pop3" verbindet, erscheint eine Nachricht, aus der zumindest das Betriebssystem des Host-Rechners herausgelesen werden kann.

Herunterladen von Webseiten mit Telnet

Beim Herunterladen von Webseiten wird in Telnet normalerweise der Port 80 als Anschluss angegeben. Manche Server verwenden allerdings den alternativen HTTP-Port 8080. Wenn die Verbindung mit dem Server besteht, erhält man ein leeres Anzeigefenster. Das bedeutet, dass der Host auf eine Eingabe wartet. Gibt man jetzt z.B. get / HTTP/1.0 ein, so erhält man die Standard-HTML-Datei. Das ist normalerweise die Datei index.html bzw. index.htm. Nachdem man die Eingabe mit der Return-Taste bestätigt hat, sollte man kurz darauf den Text im Fenster stehen haben. Dann öffnet man die Protokolldatei, selbst wenn die Datei Index.html nicht heruntergeladen wurde (aus welchem Grund auch immer). Man kann im Kopf des Textes einige Informationen über den Server entnehmen. Ein solcher Dateikopf kann z.B. so aussehen:

HTTP/1.0 200 Document follows
Date: Mon, 21 Jun 1999 14:46:55 GMT
Server: NCSA/1.5.2
Last-modified: Thu, 19 Feb 1998 17:44:13 GMT
Content-type: text/html
Content-length: 3196

Anstelle des Servernamens NCSA kann auch Microsoft IIC, Purveyor, WebSite etc. stehen.

Tracert

Mit Tracert lassen sich Internet-Verbindungen zurückverfolgen. Dabei erhält man Informationen über den Weg der Daten und über die Netzwerknamen bzw. die Adressen der Computer, über die die Verbindung läuft.

Die in Tracert angeführte IP-Adresse 152.163.199.42 stammt von einem Server der Firma America On-Line (AOL):

C:\WINDOWS>tracert 152.163.199.42
Tracing route to dns-01.aol.com [152.163.199.42]
over a maximum of 30 hops:
1 * * * Request timed out.
2 150 ms 144 ms 138 ms 204.134.78.201
3 375 ms 299 ms 196 ms glory-cyberport.nm.westnet.net [204.134.78.33]
4 271 ms * 201 ms enss365.nm.org [129.121.1.3]
5 229 ms 216 ms 213 ms h4-0.cnss116.Albuquerque.t3.ans.net [192.103.74.45]
6 223 ms 236 ms 229 ms f2.t112-0.Albuquerque.t3.ans.net [140.222.112.221]
7 248 ms 269 ms 257 ms h14.t64-0.Houston.t3.ans.net [140.223.65.9]
8 178 ms 212 ms 196 ms h14.t80-1.St-Louis.t3.ans.net [140.223.65.14]
9 316 ms * 298 ms h12.t60-0.Reston.t3.ans.net [140.223.61.9]
10 315 ms 333 ms 331 ms 207.25.134.189
11 * * * Request timed out.
12 * * * Request timed out.
13 207.25.134.189 reports: Destination net unreachable.

In den drei Spalten mit den Zeitangaben ist die Anzahl der Millisekunden angeführt, die benötigt wurden, um eine Nachricht zu senden bzw. zu empfangen. Wenn ein Stern (*) statt einer Zeit angeführt ist, bedeutet das, dass die Zeitmessung zu lange gedauert hat. Die drei Zeiten lassen allerdings keinen Rückschluss auf die Entfernung zu den Computern zu, da die Zeiten beispielsweise durch die unterschiedlichen Netzwerkauslastungen beeinflusst werden. Nach den Zeitangaben steht der Computername, über den die Verbindung hergestellt wurde, dahinter seine Adresse. Wenn Tracert am Ende die Meldung "destination net unreachable" anzeigt, ist Tracert vermutlich auf eine Firewall getroffen.

Hier ein Beispiel eines erfolgreichen Versuchs, ebenfalls mit einer IP-Adresse von AOL:

C:\WINDOWS>tracert 198.83.210.28
Tracing route to dns-aol.ans.net [198.83.210.28]
over a maximum of 30 hops:
1 * * * Request timed out.
2 138 ms 145 ms 135 ms 204.134.78.201
3 212 ms 191 ms 181 ms glory-cyberport.nm.westnet.net [204.134.78.33]
4 166 ms 228 ms 189 ms enss365.nm.org [129.121.1.3]
5 148 ms 138 ms 177 ms h4-0.cnss116.Albuquerque.t3.ans.net [192.103.74.45]
6 284 ms 296 ms 178 ms f2.t112-0.Albuquerque.t3.ans.net [140.222.112.221]
7 298 ms 279 ms 277 ms h14.t64-0.Houston.t3.ans.net [140.223.65.9]
8 238 ms 234 ms 263 ms h14.t104-0.Atlanta.t3.ans.net [140.223.65.18]
9 301 ms 257 ms 250 ms dns-aol.ans.net [198.83.210.28]
Trace complete.

An Stelle der IP-Adresse kann man auch eine Domäne eingeben (z.B. tracert aol.com).

Beta-Bereich | Suchen | Webmaster | Unterstützung | Kontakt
Copyright © 2003-2010 Gaijin.at