Флуд Icmp пакетами, С моего компа. Опции

[Geniy]

Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете...
Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 217.153.251.9
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:26

Count:1
Module:Firewall
Action:Prevented
Application:System
Access:Outbound ICMP access
Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi)
Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
Time:30.07.2005 22:27:27


Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется:
Есть правило:
Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="*" app="*" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor"

Dangerous Zone - это сетевуха идущая на псилайн.

Это означает что блокируется вообще весь входящий и исходящий ICMP траффик..

Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так:
System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137)
System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137)
System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137)
System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137)

Флуд идёт с одного и тогож UDP порта.

Теперь вопросы:
1) Не вредно ли запрещать весь ICMP траффик на своей машине.
2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса...

[bone]

Да. Так, к слову.
Это у Вас UDP-флуд. UDP и ICMP это совершенно разные вещи.

[Geniy]

Цитата: (bone @ Jul 30 2005, 23:32) Да. Так, к слову. Это у Вас UDP-флуд. UDP и ICMP это совершенно разные вещи.

Это то я понимаю. Просто мой файрвол считает что это Outbound ICMP access. И блокирует он именно по правилу запрета ICMP. Т.к. System изночально Trusted Service - процесс с него разрешен по дефолту весь TCP/UDP траффик. Однако трафик блокируется именно по правилу запрета ICMP. Я очень сомневаюсь что разработчики перемудрили с этим. Причина такого поведения в строке лога:

Object:Destination Unreachable (3) -> 218.66.104.140
То есть из Назначение недостижимо (3) -> IP получателя.

При этом в отслеживалки текущих соединений реального времени пишется подругому:
System (Kernel) UDP: 62586 -> 218.66.104.140: netbios-ns (137)

Из-за Destination Unreachable он счтает это флудом ICMP и блокирует по правилу.
На другие сообщения если они UDP он так и пишет в логе Access:Outbound UDP access.
При этом если направление достижимо идёт стандартный обмен пакетами (NETBIOS-ns) по 137 UDP порту. Вроде как имена компов передает в WinNT/2k/XP/2003. Напоминает ответную реакцию Windows на входящий UDP пакет лишь с одним исключением - Он отсылает пакеты не только в ответ на входящие пакеты но и просто на случайные IP. Кстати после отключения интернета у пси этой ночью флуд пркратился. Идёт отправка приблизительно 1 пакета в минуту. Не напрягает но хотелось бы разобраться в ситуации. На счёт драйвера нада проверить..