[Arrest]

5-ый столбец- SRC-IP. Следовательно узел с IP 192.168.1.6 2 раза залезал на 192.168.1.4 и сначала скачал 445 б., а потом 139 б. Цифирка size - самая правая.

[Bugs]

Arrest
По моему вы не совсем правы.
Последние 2 столбца - это порты протоколоа TCP/IP соответсвенно на dst и src компьютерах

[IgorK]

Очевидно, была сделана попытка установления подключения и сразу же завершилась... Правда не показаны соответствующие флаги.

[Barit]

Вот повернул таблицу на 90град., думаю правильно.

action OPEN
src-ip 192.168.1.6
dst-ip 192.168.1.4
src-port 1500
dst-port 445
size

Этот вопрос задал не просто из любопытства. Анализируя лог увидел, что 6-ка регулярно общается с четверкой, приведенных выше фрагментов сотни, а точнее "общение" продолжалось около 2,5 часа, количество приведенных выше строк составило около 4-х тысяч за 2,5 часа. Потом наступила тишина. Подобная активность замечалась неоднократно.

Принимая за истину что src - это тот кто пытается открыть канал, а dst - тот IP, к которому обращаются, получается 192.168.1.6 (мой комп) систематически "пристает" к 192.168.1.4, при этом еще ведется перебор src-port. После серии попыток соединения в логе обнаруживается типа:

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2006-02-28 13:38:52 DROP TCP 192.168.1.4 192.168.1.6 445 2518 40 AR 0 3885443953 0 - - - RECEIVE

Всегов сети около 10 машин, а шестерка систематически "пристает" к одной из них. Еще смущает, что перебор портов ведется машиной посылающей пакеты смысл?

[XPurple]

Как вариант. Видно ,что это порты используемые MS для установки связи между приложениями -временные. Открыл временно порт, устанавил связь, обменялся информацией и тут же закрыл. Видимо, MS считает, что это служебная информация и считать ее нет необходимости. Тем более что никакой смысловой нагрузки она не несет. Открыли 1500 порт, потом 1501 и т.д. по нарастающей. Кому это может быть интересно?