ICMP Angreb, HJÆLP

Du bør lukke for icmp porten. Ping og forskellige former for modificerede icmp pakker bruges ag hackere til dels at finde ud af hvilket systme du sidder på (fingerprinting) og også nogle gange til forskellige former for angreb.
Hvis du har brug for at pinge din maskine, så åben fir icmp i det tidsrum du pinger og luk herefter igen.

http://www.bufferzone.dk/ prøv herinde

Har du en fil scrsvr.exe så se her:
http://www.fabian.com.mt/VIRUSalerts/VIRUSALERT94.html Hvis det er Worm.Win32.Opasoft kan du hente removal tool her
http://eurosecure.com/site.asp?page=opaserv
Dette er nok forklaringen på at din Firewall blev "forvirret" Læs om ICMP flood her:
http://www.sslug.dk/emailarkiv/sikkerhed/2001_05/msg00099.html
Eller her: http://home13.inet.tele.dk/kruse/top10.htm Se under Tekniske detaljer: 1. Denial of service
Hvis dette ikke hjælper dig til løsningen, vil jeg foreslå dig en scanning fra dos med F-PROT. Hentes gratis her: http://www.avirus.dk/startf-prot.htm fylder to disketter og er uhyre grundig, men lidt langsom. Virker alle OS undtagen NTFS. Håber du klare den makker...

Jeg har kigget lidt på de links du henviser til men ingen hjælp der. ØvØv

Jeg bør måske også lige sige at det er en Win 2000 Server

Men som jeg ser problemmet er det inde fra min server der bliver sendt ICMP ping ud til tilfældige adsl kunder fekm in Fankrig og Tyskland hvis du laver en check med ripe.net på de adresser som er med i http://www.trixster.dk/icmp.jpg.

Så det kunne godt være en virus men har scannet den med diverse AV programmer har kørt diverse Ad-ware prg. og scannet for Trojan'er. Har været osgå prøvet en anden fireall for måske at kunne finde frem til hvilket prg som laver den trafik ud af huset.

Mvh
Trix

ICMP angreb bruges til forskellige ting. I første omgang vil der ofte være tale om fingerprinting hvor en hacker forsøger at finde ud af hvad der er installeret på maskinen, ved at analysere svarene på ICMP pakkerne kan han nogle gange se hvilket styresystem du har og ved at afsende icmp pakker til forskellige porte vil han også kunne få nogle oplysninger om hvilke applikationer du har installeret, f.eks. hvilken firewall, om der er en webserver, mail server osv osv.

ICMP angreb bruges også i forskellige DOS angreb (denial of service) ved at flodde din maskine med icmp pakker som den skal svare på kan man nogle gange få den til at gå ned, nogle gange kræves der at icmp pakkerne er modificerede på forskellig måde for at det virker ordentligt.

Sidst kan modificerede icmp pakker, hvis din maskine har de forkerte huller, bringst til at udnytte dissse huller (buffer overflow og anden kode modifikation på din maskine)

Du bør gøre følgende:

Opsæt en firewall. Mindst en personlig firewall og gerne er hardware firewall. Indstil din firewall således at den ikke svare på ICMP pakker overhoved. Dette betyder at din maskine ikke kan pinges (hvilket kan have betydning for visse ting, men dem må du tage hend af vejen) og også betyder at icmp pakker dræbes når de modtages.

Hej bufferzone tak for dit svar.

DU SKREV
""""Opsæt en firewall. Mindst en personlig firewall og gerne er hardware firewall. Indstil din firewall således at den ikke svare på ICMP pakker overhoved. Dette betyder at din maskine ikke kan pinges (hvilket kan have betydning for visse ting, men dem må du tage hend af vejen) og også betyder at icmp pakker dræbes når de modtages""""

Jeg har en firewall på min server det er den der stopper ICMP pakkerne lige nu men da de kommer med 2 sec intreval i min firewall's online logwindow tager det en ret stor del af min maskine kraft.
Jeg kunne da sæå lige den regl fra så den ikke bliver logget, men mener ikke at det kan være rigtigt at der ligger et eller andet på min server og sender info ud til tilfældige IP'er i udlandet.

Det er derfor jeg gerne vil finde ud af hvor det kommer fra, ellers ville jeg bare være ligeglad da min firewall stopper pakkerne lige nu.

Håber at det hjalp lidt mere. :-)

En af styrkerne ved en hardware firewall er netop at den befinder sig foran dit net og dine servere, hvorfor serverens ressourcer ikke bruges til firewallen. En personlig firewall er lavet til at beskytte en personlig computer (det der forkortes PC) og den indeholder dermed ikke de særlige faciliteter der skal til for at beskytte en server.

Alle gode firewalls logger alt aktivitet, hvis du skal finde ud af hvorfra et angreb (i første omgang) kommer fra skal du kikke i loggen og finde en (eller flere) IP adresser. Disse IP adresser kan du så søge på her

http://www.ripe.net/ripencc/pub-services/db/whois/whois.html.

Hvis du vil beskytte dine servere bør du kikke på en hardware firewall og har du andet end servere på dit net der også skal beskyttet, bør du kikke på en firewall med DMZ og så placere dine servere (web, ftp og mail) i DMZ. En sådan løsning behøver ikke være meget dyr, en rimelig pc med tre netkort og Smoothwall kunne være en løsning, men du kan også købe færdige bokse der kan det samme og mere