Флуд Icmp пакетами, С моего компа. Опции

[Geniy]

Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете...
Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 217.153.251.9
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:27


Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется:
Есть правило:
Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="*" app="*" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor"

Dangerous Zone - это сетевуха идущая на псилайн.

Это означает что блокируется вообще весь входящий и исходящий ICMP траффик..

Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так:
System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137)
System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137)
System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137)

Флуд идёт с одного и тогож UDP порта.

Теперь вопросы:
1) Не вредно ли запрещать весь ICMP траффик на своей машине.
2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса...

[mafet]

ммм.. у тя вирус который работает или на уровне драйвера или выполнен в виде библиотечки скорее всего на уровне драйвера тк процесс - SYSTEM, хотя очень может быть что я ошибаюсь. Сори, я наверное чегото не понимаю, но как можно отправлять ICMP пакеты на какой либо порт TCP или UDP. Я не очень сильно разбираюсь в протоколах, но обхясни как это возможно??
зы некоторые подгружаемые дрова которые подгружаюстя при старте системы мона глянуть в диспечере устройств, включением в одом из меню показ драйверов для устройств не PnP. вообще на такие случаи попробуй поставить антивирь - Avast. может он комуто и не нравится, но мне лично очень даже нравится. фича которая мне там нравится очень, чего я не видел в других антивирях это то что он может на этапе когда обычно запускается проверка диска в XP так же как проверка диска с теми же привилегиями, проверять на наличие вирусов.. попробуй, очень может быть что поможет.
ICMP трафик вредно запрещать по причине того, что непингуемая машина будет выглядеть как выключеная. это очень вредно при восстановлении сети к примеру, хотя у псилайна свитчи все пингуемые.