Welcher Prozess versucht TCP-Verbindung?

N

Niebelung

Mitglied
Thread Starter
Dabei seit
19.05.2008
Beiträge
83
Reaktionspunkte
4
In meiner Firewall habe ich seit kurzem kontinuierlich Zugriffsversuche per tcp auf die Adresse 192.168.178.29:7000. Diese Adresse gibt es in meinem LAN nicht, ich habe nichtmal ein entsprechendes Subnetz. Die Adresse riecht nach einem Standard-Fritzbox-Subnetz aus (192.168.178.0/24).

Vermutlich gibt es ein Relikt aus einer Verbindung mit einem fremden WLAN.

Wie kann ich herausfinden, welcher Prozess die Zugriffe versucht?
 
Firewall ist extern. Ich sehe daher den Prozess nicht.

Das bringt mich aber auf die Idee: Würde dieses LittleSnitch mir das anzeigen?
 
Ja, LittleSnitch zeigt es dir an.

PS: Sofern der Verbindungsversuch von dem Mac ausgeht.
 
??? Nein, ich will wissen, welcher Prozess auf meinem Mac versucht per tcp eine Verbindung zur Adresse 192.168.178.29:7000 aufzubauen. Der Verbindungsversuch wird an den default Gateway geleitet und dort auf der Firewall abgewiesen, da es das Netzwerk und diesen Host im LAN nicht gibt. Die Firewall loggt auch die Quelle, daher weiß ich, von welchem Rechner der Verbindungsversuch ausgeht.
 
Netstat kann das.
 
Geminga schrieb:
Netstat kann das.
Zum Vergrößern anklicken....

Wie geht das mit netstat?

Ich brauche einen Trace. Da keine Verbindung zustandekommt, gibt es weder einen offenen Port auf dem Mac (LISTEN), noch eine bestehende Verbindung (ESTABLISHED). Eine Momentaufnahme erwischt den Verbindungsversuch nur mit zu geringer Wahrscheinlichkeit (das passiert nur alle paar Minuten).

Ich habe nach dtrace-Skripten gesucht, aber nichts funktionierendes gefunden. :-(
 
Wireshark liefert vielleicht Protokoll-Details, aber nicht den Quell-Prozess. Das kann ja gar nicht gehen, in den Frames / Paketen sind gar keine Felder dafür enthalten ...
 
LittleSnitch läuft jetzt. Dafür versteckt sich jetzt das Problem. Das scheint schlau zu sein. Ich hatte heute morgen die Verbindungsversuche bis runter auf mehrere pro Minute, jetzt ist seit 9:38 Uhr keiner mehr aufgetaucht. LittleSnitch hat dazu keinen Alert angezeigt. Ich hoffe das wird dann nicht durch eine der eingebauten Regeln abgebacken ...

Ein Wireshark trace läuft auch, da ist aber noch nichts drin. Evtl. kriege ich ein paar aufschlußreiche Details zu der Verbindungsanfrage an Port 7000. Da habe ich zwar wenig Hoffnung, aber das kostet jetzt auch nicht entscheidend mehr Arbeit.
 
LittleSnitch hat in der neuesten Version einen „SilentMode“, der dich nicht mit Alarmen nervt. Der agiert dann im Background. Hast du den zufällig aktiviert?
 
Man kann die Ports benutzen wofür man will
 
Silentmode: Nein. Ich habe diesen Warnungsmode eingeschaltet, das hat auch gleich ein paar mal gebimmelt (u.a. Mail).
 
lsof -i 4
könnte auch helfen, wobei ich gerade nicht weiß, ob die da nur gelistet werden bei established.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten