Флуд Icmp пакетами, С моего компа. Опции

[Geniy]

Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете...
Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 217.153.251.9
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:27


Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется:
Есть правило:
Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="*" app="*" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor"

Dangerous Zone - это сетевуха идущая на псилайн.

Это означает что блокируется вообще весь входящий и исходящий ICMP траффик..

Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так:
System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137)
System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137)
System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137)

Флуд идёт с одного и тогож UDP порта.

Теперь вопросы:
1) Не вредно ли запрещать весь ICMP траффик на своей машине.
2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса...

[bone]

Цитата: (Geniy @ Jul 30 2005, 21:51) Теперь вопросы: 1) Не вредно ли запрещать  весь ICMP траффик на своей машине.

Вредно.

[Old Stager]

Цитата: (Geniy @ Jul 30 2005, 22:51) ...Теперь вопросы: 1) Не вредно ли запрещать  весь ICMP траффик на своей машине. 2) Почему процесс SYSTEM  флудит пакетами.. Не иньекция ли это какого либо вируса...

Вот что говорит мой Firewall по этому поводу:

ICMP was designed to let systems send information that would help improve performance. Since it can be spoofed, the information is not reliable. McAfee Firewall blocks ICMP by default.

То есть, он рекомендует запретить ICPM от греха подальше... :) Однако, если не хочется его совсем запрещать, то советует хотя бы ограничить этот трафик, например тремя пакетами в секунду.

[AlxsDfndr]

Цитата: (Geniy @ Jul 30 2005, 22:51) 2) Почему процесс SYSTEM  флудит пакетами.. Не иньекция ли это какого либо вируса...

"Эээээээ , бьатенька, у Вас, похоже троян завёлся "
-- первое, что пришло в голову после прочтения этого:

Цитата: (Geniy,) Недавно ... С моего компа идёт непрерывный флуд ICMP пакетами на 137  UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете... Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так: System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137)

СРОЧНО проверяй наипоследнейшими версиями и обновлениями антивирусами комп, причём сильно желательно в режиме "защиты от сбоев":ninja:

PS
как-раз совсем недавно читал про какой-то Red...., внедряющийся в Kernel32.dll... правда тогда антивирь на .htm* ругается...

[mafet]

ммм.. у тя вирус который работает или на уровне драйвера или выполнен в виде библиотечки скорее всего на уровне драйвера тк процесс - SYSTEM, хотя очень может быть что я ошибаюсь. Сори, я наверное чегото не понимаю, но как можно отправлять ICMP пакеты на какой либо порт TCP или UDP. Я не очень сильно разбираюсь в протоколах, но обхясни как это возможно??
зы некоторые подгружаемые дрова которые подгружаюстя при старте системы мона глянуть в диспечере устройств, включением в одом из меню показ драйверов для устройств не PnP. вообще на такие случаи попробуй поставить антивирь - Avast. может он комуто и не нравится, но мне лично очень даже нравится. фича которая мне там нравится очень, чего я не видел в других антивирях это то что он может на этапе когда обычно запускается проверка диска в XP так же как проверка диска с теми же привилегиями, проверять на наличие вирусов.. попробуй, очень может быть что поможет.
ICMP трафик вредно запрещать по причине того, что непингуемая машина будет выглядеть как выключеная. это очень вредно при восстановлении сети к примеру, хотя у псилайна свитчи все пингуемые.

[bone]

Да. Так, к слову.
Это у Вас UDP-флуд. UDP и ICMP это совершенно разные вещи.

[Geniy]

Цитата: (bone @ Jul 30 2005, 23:32) Да. Так, к слову. Это у Вас UDP-флуд. UDP и ICMP это совершенно разные вещи.

Это то я понимаю. Просто мой файрвол считает что это Outbound ICMP access. И блокирует он именно по правилу запрета ICMP. Т.к. System изночально Trusted Service - процесс с него разрешен по дефолту весь TCP/UDP траффик. Однако трафик блокируется именно по правилу запрета ICMP. Я очень сомневаюсь что разработчики перемудрили с этим. Причина такого поведения в строке лога:

Object:Destination Unreachable (3) -> 218.66.104.140
То есть из Назначение недостижимо (3) -> IP получателя.

При этом в отслеживалки текущих соединений реального времени пишется подругому:
System (Kernel) UDP: 62586 -> 218.66.104.140: netbios-ns (137)

Из-за Destination Unreachable он счтает это флудом ICMP и блокирует по правилу.
На другие сообщения если они UDP он так и пишет в логе Access:Outbound UDP access.
При этом если направление достижимо идёт стандартный обмен пакетами (NETBIOS-ns) по 137 UDP порту. Вроде как имена компов передает в WinNT/2k/XP/2003. Напоминает ответную реакцию Windows на входящий UDP пакет лишь с одним исключением - Он отсылает пакеты не только в ответ на входящие пакеты но и просто на случайные IP. Кстати после отключения интернета у пси этой ночью флуд пркратился. Идёт отправка приблизительно 1 пакета в минуту. Не напрягает но хотелось бы разобраться в ситуации. На счёт драйвера нада проверить..

[Geniy]

Посмотрел внимательно список драйверов. Из подозрительных девайсов (драйвера не микрософт) обнаружил тока некий ATK0110 ACPI UTILITY
c драйвером asacpi.sys. всё остальное вроде соответствует тому что должно быть..

[mafet]

это нормальный драйвер..