Forum.Psiline.Ru

Здравствуйте, гость ( Вход | Регистрация )

Скрыть объявления

Объявления

Пожайлуста помогайте известить народ о том что форум сново доступен.

> Флуд Icmp пакетами, С моего компа.
Geniy
сообщение Jul 30 2005, 21:51
Сообщение #1


Почётный пользователь
****

Группа: Пользователь
Сообщений: 155
Регистрация: 9-September 04
Из: Перово
Пользователь №: 589
Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете...
Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 217.153.251.9
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:27


Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется:
Есть правило:
Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="*" app="*" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor"

Dangerous Zone - это сетевуха идущая на псилайн.

Это означает что блокируется вообще весь входящий и исходящий ICMP траффик..

Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так:
System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137)
System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137)
System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137)

Флуд идёт с одного и тогож UDP порта.

Теперь вопросы:
1) Не вредно ли запрещать весь ICMP траффик на своей машине.
2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса...


--------------------
In Root we Trust...
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение
 
 ОтветитьСоздать новую тему
Ответов
Old Stager
сообщение Jul 30 2005, 23:00
Сообщение #2


Просто человек
******

Группа: Приватная
Сообщений: 1 271
Регистрация: 18-June 05
Пользователь №: 1 473
Цитата:
(Geniy @ Jul 30 2005, 22:51)
...Теперь вопросы:
1) Не вредно ли запрещать  весь ICMP траффик на своей машине.
2) Почему процесс SYSTEM  флудит пакетами.. Не иньекция ли это какого либо вируса...
*

Вот что говорит мой Firewall по этому поводу:

ICMP was designed to let systems send information that would help improve performance. Since it can be spoofed, the information is not reliable. McAfee Firewall blocks ICMP by default.

То есть, он рекомендует запретить ICPM от греха подальше... :) Однако, если не хочется его совсем запрещать, то советует хотя бы ограничить этот трафик, например тремя пакетами в секунду.


--------------------
“В великодушии и помощи другим - будь, как река,
В сострадании и изяществе - будь, как солнце,
В сокрытии ошибок других - будь, как ночь,
В гневе и ярости - будь, как мёртвый,
В скромности и смирении - будь, как земля,
В терпимости - будь, как море.
Либо показывай себя таким, каков ты есть, либо - будь таким, каким себя показываешь.”
(Mevlana Jalal al-Din Rumi)
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение

Сообщений в этой теме
Geniy   Флуд Icmp пакетами   Jul 30 2005, 21:51
bone   Вредно.   Jul 30 2005, 22:54
Old Stager   Вот что говорит мой Firewall по этому поводу: IC...   Jul 30 2005, 23:00
AlxsDfndr   "Эээээээ , бьатенька, у Вас, похоже троян за...   Jul 30 2005, 23:23
mafet   ммм.. у тя вирус который работает или на уровне др...   Jul 30 2005, 23:31
bone   Да. Так, к слову. Это у Вас UDP-флуд. UDP и ICMP э...   Jul 30 2005, 23:32
Geniy   Это то я понимаю. Просто мой файрвол считает чт...   Jul 31 2005, 11:17
Geniy   Посмотрел внимательно список драйверов. Из подозри...   Jul 31 2005, 11:32
mafet   это нормальный драйвер..   Jul 31 2005, 14:21

« Предыдущая тема · Техническая поддержка PSILine (Архив) · Следующая тема »
 

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия Сейчас: 24th December 2025 - 00:23
Invision Power Board v2.1.7 © 2025  IPS, Inc.
Лицензия зарегистрирована на: Forum.Psiline.Ru
IPS Driver Error  

Ошибка с базой данных.
Вы можете попробовать обновить эту страницу, нажав сюда.

Возвращаемая ошибка

Приносим свои извинения за предоставленные неудобства.