ein bischen schwierig zu erklären, aber ich versuch es mal. man muß aber ein bisschen tiefer ins tcp/ip eintauchen.
das ergebnis daß du im log von outpost siehst ist ein sogenannter halboffener scan eines portscanprogs. ein scan wird deshalb so genannt, weil man keine vollständige tcp verbindung aufbaut sondern lediglich eine SYN anfrage an einen host sendet. antwortet der host dann mit einem SYN-ACK paket kann man davon ausgehen, dass der host listening erreichbar ist. durch die rückgabe von sogenannten RST-ACK Paketen kann man dann davon ausgehen, dass keine vollständige verbindung zustande kommt. besonders interessant ist diese scan-methode, da diese nicht so schnell erkannt werden kann, denn die meisten firewalls protokollieren nur die zustandegekommenen verbindungen.
normalerweise wird ein scan aber so durchgeführt:
es wird eine verbindung zum zielhost aufgebaut, wobei das prinzip des 3-wege-handshakes durchgeführt wird. das bedeutet im einzelnen, daß bei TCP verbindungen nach dem drei-wege-handshake-prinzip ACK-anfragen (ACK=acknoledgement) an den anzugreifenden host gesendet werden. als erstes werden dabei die SYN pakete an den server gesendet. der server antwortet dann wie beschrieben mit SYN-ACK paketen und erwartet dann eine bestätigung durch ein ACK Paket vom client. so funktioniert im normalfall eine tcp verbindung, d.h. wenn du online im internet unterwegs bist.
greetz
hugo
