Флуд Icmp пакетами

Psiline.Ru Правила форума

Помощь Поиск Пользователи Календарь

Здравствуйте, гость ( Вход | Регистрация )

Объявления

Пожайлуста помогайте известить народ о том что форум сново доступен.

Forum.Psiline.Ru > Архив > Архив > Техническая поддержка PSILine (Архив)

Флуд Icmp пакетами, С моего компа.

Опции

Geniy	Jul 30 2005, 21:51 Сообщение #1
Почётный пользователь Группа: Пользователь Сообщений: 155 Регистрация: 9-September 04 Из: Перово Пользователь №: 589	Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете... Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com) Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:26 Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 217.153.251.9 Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:26 Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi) Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:27 Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется: Есть правило: Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="" app="" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor" Dangerous Zone - это сетевуха идущая на псилайн. Это означает что блокируется вообще весь входящий и исходящий ICMP траффик.. Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так: System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137) System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137) System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137) System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137) System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137) Флуд идёт с одного и тогож UDP порта. Теперь вопросы: 1) Не вредно ли запрещать весь ICMP траффик на своей машине. 2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса... -------------------- In Root we Trust...

Сообщений в этой теме

Geniy Флуд Icmp пакетами Jul 30 2005, 21:51

bone Вредно. Jul 30 2005, 22:54

Old Stager Вот что говорит мой Firewall по этому поводу: IC... Jul 30 2005, 23:00

AlxsDfndr "Эээээээ , бьатенька, у Вас, похоже троян за... Jul 30 2005, 23:23

mafet ммм.. у тя вирус который работает или на уровне др... Jul 30 2005, 23:31

bone Да. Так, к слову. Это у Вас UDP-флуд. UDP и ICMP э... Jul 30 2005, 23:32

Geniy Это то я понимаю. Просто мой файрвол считает чт... Jul 31 2005, 11:17

Geniy Посмотрел внимательно список драйверов. Из подозри... Jul 31 2005, 11:32

mafet это нормальный драйвер.. Jul 31 2005, 14:21

« Предыдущая тема · Техническая поддержка PSILine (Архив) · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 27th July 2025 - 09:34