Curioso sobre código ICMP tipo 3 estranho 10 tráfego para o meu endereço IP

Navegue suas respostas
1

Meu firewall ( iptables ) registra algum tráfego estranho de ICMP tipo 3 de código 10 que eu estou curioso para entender (especificamente como ou se isso poderia ser uma exploração de algum tipo).

Type 3 = Destination Unreachable
Code 10 = Communication with Destination Host is Administratively Prohibited).

O tráfego registrado (de 4 a 6 pacotes separados por alguns segundos, uma vez ao dia nos últimos meses):

IN=eth0 OUT= MAC=(eth0 MAC) SRC=(Foreign IP address) DST=(My IP address) LEN=72 TOS=0x00 PREC=0x00 TTL=50 ID=35145 PROTO=ICMP TYPE=3 CODE=10 [SRC=(My IP address) DST=(Foreign IP address) LEN=44 TOS=0x00 PREC=0x00 TTL=50 ID=0 DF PROTO=TCP SPT=25 DPT=53454 WINDOW=28200 RES=0x00 ACK SYN URGP=0]

Todos os registros indicam que (endereço IP externo) transmite apenas o pacote ICMP acima. Nenhum outro tráfego de (endereço IP externo) é registrado no mesmo período de tempo (consulte a atualização abaixo).
Por padrão, o sistema registra e elimina qualquer tráfego originado do país de (endereço IP externo) .

Poderia ser um exploit, talvez enganar (Meu endereço IP) para transmitir algo para (endereço IP externo) , supondo que eu não tenha descartado o tráfego por padrão ?

Todas as informações são bem vindas.

Update : Os logs mostram que (endereço IP externo) se conecta consistentemente às portas 80 e 443 antes dos pacotes ICMP (9 e 7 horas antes dos pacotes ICMP, respectivamente). Ambas as tentativas foram eliminadas pela diretiva de firewall padrão. De acordo com Network-Tools.com , a origem de (endereço IP estrangeiro) é a China (CN) na região Sul e da Ásia Oriental, e nenhum nome de host está associado ao endereço IP.

    
por KimN 23.07.2014 / 12:45

1 resposta

1

ICMP type 3 code 10

Isso implica que é uma resposta para você de outro firewall. Se eu tiver uma regra do iptables que termine com: 

REJECT --reject-with icmp-net-prohibited

e uma solicitação sua está coberta por esta regra, você receberá um código 10 tipo 3 pacote ICMP para informar que a porta está inacessível para você. Esta é considerada a resposta correta, ao contrário de DROP , que não envia nenhuma resposta e, portanto, tenderá a gerar um tráfego mais para o endereço "inacessível" para resolver o mistério. 1

Se este for o caso, você deve descobrir por que isso está sendo rejeitado pelo seu firewall e corrigir as regras, porque isso fará com que os aplicativos sejam interrompidos desnecessariamente. Possivelmente você tem algo muito cedo na lista, ou nenhuma regra adequada RELACIONADA, ESTABELECIDA.

Is this some sort of ICMP policy, to trick (My IP address) into transmitting something to (Foreign IP address), assuming I did not drop the traffic by default?

Improvável, já que não há resposta esperada.

1. Usar DROP como um mecanismo segurança por obscuridade em um servidor público é completamente inútil, já que tudo que um invasor legítimo deve fazer é varredura de porta; um deles tem que responder a algo ou não é um servidor público. Além disso, gera tráfego adicional desnecessário e problemas para sistemas que não são bogey men (ou seja, a maioria deles). Se você quiser negar o acesso, basta dizer que está negando o acesso. Você deve usar apenas DROP com o tráfego que você conhece mas deseja ignorar, como pacotes de transmissão de sistemas locais.

    
por 23.07.2014 / 13:48

Tags

Posso definir o sinalizador "barrier = 0" ao usar o SSD? Conceder ao usuário permissão para acessar arquivos em um diretório