Meu computador está enviando pacotes ICMP para destinos arbitrários

Question

Meu computador está enviando pacotes ICMP para destinos arbitrários

#1 resposta do (5 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

2

Meu computador está enviando pacotes ICMP para destinos arbitrários. Não consigo entender o motivo. O despejo de um dos pacotes é:

Internet Control Message Protocol
    Type: 3 (Destination unreachable)
    Code: 3 (Port unreachable)
    Checksum: 0x811b [correct]
    Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 131
        Identification: 0x0631 (1585)
        Flags: 0x00
            0... .... = Reserved bit: Not set
            .0.. .... = Don't fragment: Not set
            ..0. .... = More fragments: Not set
        Fragment offset: 0
        Time to live: 111
        Protocol: UDP (17)
        Header checksum: 0xc19b [correct]
            [Good: True]
            [Bad: False]
        Source: 80.167.113.76 (80.167.113.76)
        Destination: 192.168.1.2 (192.168.1.2)
    User Datagram Protocol, Src Port: 61846 (61846), Dst Port: 25660 (25660)
        Source port: 61846 (61846)
        Destination port: 25660 (25660)
        Length: 111
        Checksum: 0x4b45 [validation disabled]
            [Good Checksum: False]
            [Bad Checksum: False]
    Data (103 bytes)

Data: 64313a6164323a696432303abe916abba14b8cb8a7167ce0...

O que se entende por esses pacotes ICMP arbitrários? Eu tenho medo de rootkit. Por favor, ajude.

sistema operacional: windows 7 ultimate

windows rootkit hacking packets icmp

por user58859 14.02.2011 / 20:02

4 respostas

2

Uma ferramenta como o TCPView deve permitir que você veja qual processo está criando esses pacotes. Isso deve lhe dar uma idéia melhor do propósito deles.

link

por 14.02.2011 / 20:17

0

Acho que você está recebendo a porta ICMP inacessível para UDP 80.167.113.76 na porta 25660. Isso significa que um aplicativo em seu computador está tentando se conectar a 80.167.113.76:25660 via protocolo UDP e nenhum serviço remoto está escutando nessa porta ou é filtrada.

Pode ser que você esteja executando um aplicativo P2P que está tentando se conectar a alguns clientes que estão protegidos por um firewall.

por 14.02.2011 / 20:08

0

O ICMP é sem estado (sem sessão), por isso é difícil rastrear um processo que esteja criando solicitações usando ferramentas de rede comuns para o Windows.

Use uma ferramenta como listdlls de sysinternals. Você pode então ver o processo que carregou icmp.dll:

C:\Documents and Settings\user>listdlls -d icmp

ListDLLs v3.1 - List loaded DLLs
Copyright (C) 1997-2011 Mark Russinovich
Sysinternals - www.sysinternals.com

----------------------------------------------------------------
Belkinwcui.exe pid: 2484
Command line: "C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe"

Base        Size      Path
0x74290000  0x4000    ICMP.DLL

- link

por 09.11.2011 / 11:22

Tags windows rootkit hacking packets icmp

Supondo que eu não esteja servindo nenhum conteúdo estático, precisarei me afastar do Apache? O Amazon EC2 integra-se ao Amazon S3?

score 5 · Accepted Answer

Isso é normal e sozinho não deve ser motivo para qualquer preocupação. O que aconteceu é que o computador com IP 80.167.113.76 enviou um pacote UDP para o seu computador, para a porta 25660. Você não tem nada em execução no seu computador esperando por pacotes UDP nesta porta, então seu computador envia este pacote ICMP de volta para a origem dizendo que nada foi alcançado na porta dada (ICMP Type = 3 Code = 3 → Port unreachable). O pacote ICMP contém uma cópia dos cabeçalhos do pacote originalmente enviado (na direção oposta).

Se você está recebendo essas informações de um sniffer de pacotes (parece wireshark?), então procure por um pacote UDP de entrada daquele IP que chega antes do pacote que você acabou de copiar nesta questão.

Certamente você está usando um ISP que atribui dinamicamente endereços IP aos usuários. Provavelmente, seu endereço IP atual estava sendo usado por alguém que estava executando algum aplicativo P2P, e seu IP mais essa combinação de portas foi armazenada em cache no aplicativo de outra pessoa e, em seguida, tentou se conectar ao usuário original que estava usando esse IP.

Não há necessidade de se preocupar, realmente. Mas, se isso te incomodar, você pode querer instalar um firewall com monitoração de estado que simplesmente reduz os pacotes DROPs para sessões não monitoradas. Em vez de enviar uma mensagem "Port Unreachable" para a origem, o firewall simplesmente descarta o pacote original, pois não estará em sua tabela de conexão interna.