Test am 24.06.05 (Freitag 8:45 Uhr)

C:\>ping www.orf.at

Ping www.orf.at [194.232.104.27] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 194.232.104.27:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),


C:\>ping www.google.at

Ping www.l.google.com [216.239.59.147] mit 32 Bytes Daten:

Antwort von 216.239.59.147: Bytes=32 Zeit=66ms TTL=242
Antwort von 216.239.59.147: Bytes=32 Zeit=68ms TTL=242
Antwort von 216.239.59.147: Bytes=32 Zeit=72ms TTL=242
Antwort von 216.239.59.147: Bytes=32 Zeit=66ms TTL=242

Ping-Statistik für 216.239.59.147:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 66ms, Maximum = 72ms, Mittelwert = 68ms


C:\>tracert www.orf.at

Routenverfolgung zu www.orf.at [194.232.104.27] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms my.router [192.168.1.254]
2 23 ms 23 ms 22 ms ADSLEIS.ycn.com [212.88.175.25]
3 25 ms 22 ms 24 ms ATMCOREEIS2-FE0-0.ycn.com [212.88.181.25]
4 28 ms 29 ms 27 ms atmcorevie21-fe0-1.ycn.com [80.89.102.243]
5 26 ms 25 ms 28 ms ixion1-fe0-0.ycn.com [212.88.171.115]
6 30 ms 29 ms 29 ms cvix2.apa.at [193.203.0.15]
7 27 ms 29 ms 27 ms cinter3-gig0-3.apa.net [194.158.154.249]
8 31 ms 27 ms 30 ms 194.158.138.13
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
…


C:\>tracert www.google.at

Routenverfolgung zu www.l.google.com [216.239.59.103] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms my.router [192.168.1.254]
2 22 ms 24 ms 21 ms ADSLEIS.ycn.com [212.88.175.25]
3 22 ms 23 ms 24 ms ATMCOREEIS2-FE0-0.ycn.com [212.88.181.25]
4 26 ms 28 ms 26 ms atmcorevie21-fe0-1.ycn.com [80.89.102.243]
5 82 ms 230 ms 228 ms ixion1-fe0-0.ycn.com [212.88.171.115]
6 27 ms 28 ms 26 ms win-ix-i2-feth4-0.telia.net [213.248.79.221]
7 29 ms 27 ms 27 ms win-b2-pos2-0.telia.net [213.248.68.138]
8 35 ms 35 ms 31 ms prag-b1-pos6-0.telia.net [213.248.68.110]
9 47 ms 47 ms 48 ms hbg-bb1-pos0-2-0.telia.net [213.248.65.1]
10 52 ms 53 ms 52 ms adm-bb1-pos7-0-0.telia.net [213.248.65.153]
11 53 ms 57 ms 56 ms adm-b3-pos0-0-0.telia.net [213.248.64.158]
12 52 ms 53 ms 51 ms google-104715-adm-b3.c.telia.net [213.248.72.150]
13 58 ms 58 ms 57 ms 64.233.175.246
14 58 ms 59 ms 61 ms 216.239.46.173
15 70 ms 68 ms 73 ms 216.239.49.254
16 73 ms 73 ms 71 ms 216.239.49.121
17 68 ms 68 ms 69 ms 216.239.59.103

Ablaufverfolgung beendet.




Tracert-Test mit Webtool:

UTA Traceroute Webtool

Ergebnis: traceroute to www.orf.at
1 fwsrv1.ces.uta.at (213.90.2.2) 0.504 ms 0.413 ms 0.208 ms
2 213.90.1.17 (213.90.1.17) 0.786 ms 0.952 ms 0.833 ms
3 wat1-15-21.net.uta.at (62.218.15.21) 0.902 ms 0.900 ms 0.802 ms
4 c76vix1-g4-2.net.uta.at (212.152.192.105) 1.498 ms 1.554 ms 1.406 ms
5 cvix1.apa.net (193.203.0.5) 1.741 ms 2.164 ms 1.405 ms
6 cinter1-gig0-3.apa.net (194.158.155.101) 2.462 ms 2.504 ms 1.988 ms
7 194.158.138.12 (194.158.138.12) 2.954 ms 3.957 ms 3.439 ms
8 www.orf.at (194.232.104.30) 3.284 ms !<10> 2.140 ms !<10> 2.866 ms !<10>

Test am 26.06.05 (Samstag 10:15 Uhr)

C:\>ping www.orf.at

Ping www.orf.at [194.232.104.22] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung.
Ping-Statistik für 194.232.104.22: Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

C:\>ping www.google.at

Ping www.l.google.com [216.239.59.103] mit 32 Bytes Daten:

Antwort von 216.239.59.103: Bytes=32 Zeit=67ms TTL=242
Antwort von 216.239.59.103: Bytes=32 Zeit=67ms TTL=242
Antwort von 216.239.59.103: Bytes=32 Zeit=65ms TTL=242
Antwort von 216.239.59.103: Bytes=32 Zeit=64ms TTL=242

Ping-Statistik für 216.239.59.103:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 64ms, Maximum = 67ms, Mittelwert = 65ms


C:\>tracert www.orf.at

Routenverfolgung zu www.orf.at [194.232.104.22] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms my.router [192.168.1.254]
2 22 ms 26 ms 23 ms ADSLEIS.ycn.com [212.88.175.25]
3 24 ms 22 ms 23 ms ATMCOREEIS2-FE0-0.ycn.com [212.88.181.25]
4 26 ms 29 ms 28 ms atmcorevie21-fe0-1.ycn.com [80.89.102.243]
5 27 ms 27 ms 26 ms ixion1-fe0-0.ycn.com [212.88.171.115]
6 27 ms 29 ms 28 ms cvix2.apa.at [193.203.0.15]
7 85 ms 217 ms 29 ms cinter3-gig0-3.apa.net [194.158.154.249]
8 30 ms 25 ms 27 ms 194.158.138.12
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.


C:\>tracert www.google.at

Routenverfolgung zu www.l.google.com [216.239.59.99] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms my.router [192.168.1.254]
2 170 ms 50 ms 22 ms ADSLEIS.ycn.com [212.88.175.25]
3 25 ms 22 ms 23 ms ATMCOREEIS2-FE0-0.ycn.com [212.88.181.25]
4 32 ms 24 ms 216 ms atmcorevie21-fe0-1.ycn.com [80.89.102.243]
5 27 ms 29 ms 28 ms ixion1-fe0-0.ycn.com [212.88.171.115]
6 42 ms 28 ms 25 ms win-ix-i2-feth4-0.telia.net [213.248.79.221]
7 629 ms 114 ms 26 ms win-b2-pos2-0.telia.net [213.248.68.138]
8 399 ms 40 ms 33 ms prag-b1-pos6-0.telia.net [213.248.68.110]
9 395 ms 46 ms 46 ms hbg-bb1-pos0-2-0.telia.net [213.248.65.1]
10 484 ms 53 ms 52 ms adm-bb1-pos7-0-0.telia.net [213.248.65.153]
11 286 ms 55 ms 52 ms adm-b3-pos0-0-0.telia.net [213.248.64.158]
12 392 ms 161 ms 51 ms google-104715-adm-b3.c.telia.net [213.248.72.150]
13 203 ms 58 ms 56 ms 64.233.175.246
14 101 ms 58 ms 58 ms 216.239.46.173
15 72 ms 69 ms 214 ms 216.239.49.254
16 458 ms 102 ms 69 ms 216.239.48.158
17 110 ms 71 ms 223 ms 216.239.49.126
18 68 ms 543 ms 69 ms 216.239.59.99

Ablaufverfolgung beendet.


Webtool Tracert:

Ergebnis: traceroute to www.orf.at

1 fwsrv1.ces.uta.at (213.90.2.2) 0.880 ms 0.457 ms 0.411 ms
2 213.90.1.17 (213.90.1.17) 1.573 ms 1.048 ms 0.893 ms
3 wat1-15-21.net.uta.at (62.218.15.21) 1.190 ms 1.025 ms 0.924 ms
4 c76vix1-g4-2.net.uta.at (212.152.192.105) 1.678 ms 2.026 ms 1.925 ms
5 cvix1.apa.net (193.203.0.5) 1.710 ms 2.031 ms 1.926 ms
6 cinter1-gig0-3.apa.net (194.158.155.101) 1.718 ms 2.067 ms 2.900 ms
7 194.158.138.12 (194.158.138.12) 3.262 ms 4.542 ms 3.443 ms
8 www.orf.at (194.232.104.26) 4.680 ms !<10> 3.549 ms !<10> 3.383 ms !<10>

Interpretation der Ergebnisse der ping und tracert Befehle:

PING:

Bei beiden ping Tests nach www.orf.at wurde immer eine „Zeitüberschreitung der Anforderung“ zurückgegeben. Da www.orf.at allerdings über den Webbrowser erreichbar ist, vermute ich, dass die ICMP-Pakete des ping-Befehls durch eine Firewall blockiert, ignoriert bzw. weggeworfen werden.
Als Gegenprobe, um sicher zu stellen, dass die Netzwerkverbindungen des Testcomputers mit dem Internet korrekt funktionieren, habe ich an beiden Testtagen einen zusätzlichen ping-Test mit der Adresse www.google.at durchgeführt. Dabei erhielt ich statt der Meldung „Zeitüberschreitung der Anforderung“ verschiedene ping-Zeiten als Antwort.

Beide Tests wurden mit der gleichen Paketgröße (32 Byte) an Daten durchgeführt um gleiche Testbedingungen zu schaffen.

Aufgrund der ping-Zeiten, die ich von www.google.at erhalten habe (Test 1 zwischen 66 und 72 ms bzw. Test 2 zwischen 64 und 67 ms) lassen sich keine wesentlichen Verzögerungen der ICMP-Pakete feststellen. Am ersten Testtag (Freitag 8:45 Uhr) waren die Zeiten geringfügig höher als am zweiten Testtag (Sonntag 10:15 Uhr). Der Grund dafür könnte sein, dass der Internettraffic an den Werktagen höher ist als am Wochenende.

Der TTL-Wert ist bei beiden Testdurchgängen unverändert geblieben. Dadurch erkennt man, dass der Weg welchen das ICMP-Paket genommen hat, gleich geblieben ist; d.h. dass sich an der Netzwerktopologie (Internet) von der Quelle zum Ziel nichts verändert hat (Anzahl der Router, Switches, etc. ist gleichgeblieben).


TRACERT:

Mit dem tracert-Tool (Windows) habe ich ebenfalls an den beiden Testtagen die Route zu www.orf.at bzw. www.google.at ermittelt. Dabei wird der Weg den die Pakete von meinem PC über meinen Internetprovider (ycn.com) zum Ziel (www.orf.at bzw. www.google.at) beschrieben.
Bei www.orf.at fiel mir auf, dass ich zum achten tracert-Eintrag entsprechende Zeit und Routenangaben und ab dem neunten Eintrag bei den Zeiten nur mehr Sterne bzw. den Text „Zeitüberschreitung der Anforderung“ (wie beim ping-Befehl) erhalte. Dadurch sehe ich, dass ich ab dem neunten Eintrag vermutlich deshalb keine Informationen mehr erhalte, weil die Routenverfolgung ab dort von einer Firewall unterbunden wird. Als Gegentest habe ich auch die Route zu www.google.at verfolgt. Dabei wurde mir der gesamte Weg bis zum Ziel-Host dargestellt.

Zu den Zeitangaben (www.orf.at) an den beiden Testtagen lassen sich wieder nur geringfügige Unterschiede erkennen. Am ersten Testtag lagen die Zeiten zwischen 23 und 31 ms und am zweiten Testtag betrugen sie zwischen 22 und 30 ms mit zwei zeitlichen Ausreißern von 85 bzw. 217 ms.

Beim www.google.at Test erkenne ich deutliche Unterschiede bei den Zeitangaben. Diese sind beim zweiten Testtag (Wochenende) deutlich höher als während der Woche.


Webtool vs. Windows-Tool:

Beim Vergleich der Routen fällt auf, dass dies deutlich voneinander abweichen. Beim Windows-Tool beginnt die Route bei meinem PC und geht über meinen Internetprovider zum Ziel-Host während die Route beim Webtool bei uta.net beginnt (=Quelle des Webtools). Die Route des Webtools ist kürzer als die Route des Windows-Tools. Das kommt daher, dass uta.net näher bei www.orf.at liegt als mein PC.

Ein weiterer Unterschied besteht darin, dass beim Webtool die gesamte Route bis zum Ziel-Host verfolgt wird, während beim Windows-Tool zwei Positionen vorher keine weitere Verfolgung möglich war.

Erstaunlich ist außerdem, dass die Zeitangaben beim Webtool deutlich kleiner sind, als beim Windows-Tool.


PORTSCAN:

Service

Ports

Status

Additional Information

FTP DATA

20

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

FTP

21

OPEN

File Transfer Protocol is used to transfer files between computers. A misconfigured FTP server can allow an attacker to transfer files, Trojan horses, and virus programs at will.

SSH

22

BLOCKED

This port has not responded to any of our probes. It appears to be completely stealthed.

TELNET

23

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

SMTP

25

OPEN

SMTP is used to send email across the internet. This allows an attacker to verify user accounts on your system, send anonymous (spam) email, or even access files on your hard drive.

DNS

53

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

DCC

59

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

FINGER

79

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

WEB

80

OPEN

HTTP web services publish web pages. A misconfigured web server can not only offer an attacker needed information about his target, but it can allow for various security breaches.

POP3

110

OPEN

Post Office Protocol is used to receive email. It can be used by attackers to create fake email addresses, execute programs, and even intercept your private email.

IDENT

113

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Location Service

135

OPEN

Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.

NetBIOS

139

OPEN

NetBios is used to share files through your Network Neighborhood. If you are connected to the internet with this open, you could be sharing your whole hard drive with the world! This is a very dangerous port to have open.

HTTPS

443

OPEN

Secure Web Servers are often used by banks and online vendors.

Server Message Block

445

OPEN

In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT.

SOCKS PROXY

1080

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

UPnP

5000

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

WEB PROXY

8080

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Results from scan of commonly used trojans at TCP/IP address: 80.89.99.110

Service

Ports

Status

Possible Trojans

Trojan

1243

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

1999

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

6776

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

7789

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

12345

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

31337

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

54320

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Trojan

54321

CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.

Results from scan of ICMP at TCP/IP address: 80.89.99.110

Protocol

Type

Status

Additional Information

ICMP

8

BLOCKED

An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.

Der Portscan dient dazu, die Ports eines Hosts zu analysieren. Dabei kann festgestellt werden, ob ein Port offen, geschlossen oder blockiert ist.

Ich habe den Portscan über das vorgeschlagene Webtool durchgeführt und dabei oben stehendes Ergebnis erhalten. Folgend möchte ich einige herausgreifen und kurz erläutern:

Port 21: FTP opened
Da wir zuhause einen FTP-Server betreiben, welcher auch vom Internet aus erreichbar ist, wurde dieser Port vom Portscan als offen identifiziert.

Port 25: SMTP opened
Wir betreiben ebenfalls einen eigenen Mailserver, durch den wir auch von Auswärts Mails versenden können. Aus diesem Grund muss der Port offen sein.

Port 53: DNS closed
Da wir keinen öffentlichen DNS-Server, wie zum Beispiel die Telekom (195.3.96.67) oder ycn.com (212.88.160.2) zur Namensauflösung betreiben, ist dieser Port geschlossen.

Port 80: http opened
Wir haben auch einen eigenen Webserver für unsere private Homepage (www.gesss.net) wofür wir den Port 80 benötigen.

Port 110: POP3 opened
Da wir einen eigenen Mailserver betreiben, durch den wir auch Auswärts Mails empfangen können, muss der Port 110 offen sein.

ICMP: blocked
Da wir keine ICMP-Pakete von außen (Internet) zulassen möchten, haben wir diese durch unsere Firewall geblockt. Daher würde jeder der einen ping-Befehl auf unsere Adresse (www.gesss.net) durchführt, als Antwort „Zeitüberschreitung der Anforderung“ erhalten.

Hilfreiche LINKS:

http://de.wikipedia.org/wiki/Ping_(Daten%C3%BCbertragung)
http://de.wikipedia.org/wiki/Tracert