 Флуд Icmp пакетами, С моего компа. |
Здравствуйте, гость ( Вход | Регистрация )
Объявления
Пожайлуста помогайте известить народ о том что форум сново доступен.
| Geniy |
  Jul 30 2005, 21:51
Сообщение
#1
|
 Почётный пользователь  Группа: Пользователь Сообщений: 155 Регистрация: 9-September 04 Из: Перово Пользователь №: 589  |
Недавно стал анализировать логи своего файрвола и обнаружил очень инересную весч... С моего компа идёт непрерывный флуд ICMP пакетами на 137 UDP порт случайных IP aдресов. Причём адреса не в локалке а в интернете...
Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 86.131.110.159 (host86-131-110-159.range86-131.btcentralplus.com) Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:26 Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 217.153.251.9 Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:26 Count:1 Module:Firewall Action:Prevented Application:System Access:Outbound ICMP access Object:Destination Unreachable (3) -> 84.248.195.32 (dsl-aur-t20.dial.inet.fi) Interface:[1] D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C) Time:30.07.2005 22:27:27 Строка "Action:Prevented" означает что пакеты отсекаются файрволом ещё до отправки. Однако флуд ведёт приложение SYSTEM что меня не очень порадовало... Покопавшись глубже в правилах файрвола я обнаружил почему он блокируется: Есть правило: Rule id="NS18" zone="2" priority="high" transport_id="ICMP All" remaddr="*" app="*" timeofday="*" account="system" desc="Allows all ICMP commands from/to Dangerous Zone" AccessDesc at="NetworkAccess" ar="Prevent" al="Monitor" Dangerous Zone - это сетевуха идущая на псилайн. Это означает что блокируется вообще весь входящий и исходящий ICMP траффик.. Ещё внимательнее посмотрев что именно флудит из процесса SYSTEM я ещё более удивился - флудит System (Kernel). Выглядит это так: System (Kernel) UDP: 63733 -> 217.153.32.42: netbios-ns (137) System (Kernel) UDP: 63733 -> 219.83.16.29: netbios-ns (137) System (Kernel) UDP: 63733 -> 218.111.225.33: netbios-ns (137) System (Kernel) UDP: 63733 -> 61.68.52.21: netbios-ns (137) System (Kernel) UDP: 63733 -> 219.83.16.100: netbios-ns (137) Флуд идёт с одного и тогож UDP порта. Теперь вопросы: 1) Не вредно ли запрещать весь ICMP траффик на своей машине. 2) Почему процесс SYSTEM флудит пакетами.. Не иньекция ли это какого либо вируса... -------------------- In Root we Trust...
|
   |
 
|
  |
Ответов
| Geniy |
 Jul 31 2005, 11:32
Сообщение
#2
|
|
Почётный пользователь Группа: Пользователь Сообщений: 155 Регистрация: 9-September 04 Из: Перово Пользователь №: 589 |
Посмотрел внимательно список драйверов. Из подозрительных девайсов (драйвера не микрософт) обнаружил тока некий ATK0110 ACPI UTILITY
c драйвером asacpi.sys. всё остальное вроде соответствует тому что должно быть.. -------------------- In Root we Trust...
|
|
|
|
Сообщений в этой теме
Geniy Флуд Icmp пакетами Jul 30 2005, 21:51
bone Вредно. Jul 30 2005, 22:54 Old Stager
Вот что говорит мой Firewall по этому поводу:
IC... Jul 30 2005, 23:00 AlxsDfndr
"Эээээээ , бьатенька, у Вас, похоже троян за... Jul 30 2005, 23:23 mafet ммм.. у тя вирус который работает или на уровне др... Jul 30 2005, 23:31 bone Да. Так, к слову.
Это у Вас UDP-флуд. UDP и ICMP э... Jul 30 2005, 23:32
Geniy
Это то я понимаю. Просто мой файрвол считает чт... Jul 31 2005, 11:17 mafet это нормальный драйвер.. Jul 31 2005, 14:21 |
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
| Текстовая версия | Сейчас: 27th July 2025 - 13:39 |