Toon posts:

Abnormaal veel ICMP requests

Pagina: 1
Acties:

dinsdag 30 juni 2009 18:58

Acties:
  • ThomasG
  • Registratie: Juni 2006
  • Laatst online: 24-02 22:53

ThomasG

Topicstarter
Sinds aan paar dagen is mijn firewall druk bezig met het blokkeren van bepaalde ICMP requests. Deze blijken bijna allemaal te komen van "10.15.196.1". Vreemd, aangezien dit een gereserveerde range is voor lokaal gebruik, maar mijn lokale netwerk zit in de 172.16.0.x range. En ik kan in de weide omgeving ook geen computer met "10.15.196.1" vinden.

Mijn provider is chello, en nu weet ik toevallig hun intern gebruik maken van 10.x.x.x. Toen ik een paar maanden geleden een nieuwe router had bijvoorbeeld, toen moest ik "inloggen" (op mijn chello ip te "activere") en kwam ik op een 10.x.x.x ip van hun terrecht.

Nu lijkt het mij sterk dat chello hun gebruikers ineens gaat lastig vallen met allemaal ICMP requests. En er zitten er ook een aantal bij met ip's afkomstig uit Amerika etc. Ik heb alle computers hier gescant op virussen/spyware ed. En ze zijn allemaal beveiligd met een firewall. Het probleem komt niet op elke computer voor.

In drie dagen tijd zijn er 4053 !! ICMP requests geblokkeerd, en ik snap er niks van, want het zijn allemaal de zelfde "aanvallen". Er zijn verder geen instellingen verranderd in de firewall, en dit probleem is pas sinds een paar dagen.`

Screenshot uit de firewall (logs): http://i43.tinypic.com/ap9p8o.jpg

Iemand misschien enig idee waardoor dit zou kunnen komen? Ik merk overigens geen vermindering van internet snelheid, ed.

dinsdag 30 juni 2009 19:15

Acties:
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Nou, het lijkt me sterk dat er wat aan de hand is. ICMP is niks anders dan o.a. Ping commando's.
Waar het precies vandaan komt kan van alles zijn. Heb je niet toevallig een nieuw apparaat in je netwerk oid? Misschien een open WiFi netwerk? Zou netzogoed je buurman kunnen zijn?

Maargoed, ICMP doet weinig interessants. Je kan de requests blokkeren, dan ben je ICMP Stealthed. Dat houd niks anders in dan dat er niet gezien kan worden of jouw machine aan staat middels een ping request.

Ik heb hier dagelijks bakladingen ICMP requests van buiten mijn netwerk die mijn router/firewall afvangt. Niet afvangen en reageren levert geen risico op. Het enige is dat er dan zichtbaar is dat er een apparaat aan het betreffende IP gekoppeld is en aan staat.

Hell, het is zelfs zo dat een webserver een ICMP packet kan sturen op basis van het feit dat jij een website bezoekt en hij wil weten welke hostname er aan het IP gekoppeld is om dat op te kunnen nemen in de accesslog.
Het is dus zelfs mogelijk dat jij het zelf aan het triggeren bent.

Waarom je dat nu oppeens te zien krijgt kan een firewall instelling zijn, misschien heb je perongeluk iets veranderd of de software ge-update.

Anyway, over ICMP hoef je je geen zorgen te maken.

Iemand een Tina2 in de aanbieding?

dinsdag 30 juni 2009 19:40

Acties:
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

McKaamos schreef op dinsdag 30 juni 2009 @ 19:15:
Nou, het lijkt me sterk dat er wat aan de hand is. ICMP is niks anders dan o.a. Ping commando's.
Waar het precies vandaan komt kan van alles zijn. Heb je niet toevallig een nieuw apparaat in je netwerk oid? Misschien een open WiFi netwerk? Zou netzogoed je buurman kunnen zijn?
Dan zou het afzenderadres in dezelfde range moeten liggen als het lokale IP adres van de topicstarter denk ik zo?
Maargoed, ICMP doet weinig interessants. Je kan de requests blokkeren, dan ben je ICMP Stealthed. Dat houd niks anders in dan dat er niet gezien kan worden of jouw machine aan staat middels een ping request.

Ik heb hier dagelijks bakladingen ICMP requests van buiten mijn netwerk die mijn router/firewall afvangt. Niet afvangen en reageren levert geen risico op. Het enige is dat er dan zichtbaar is dat er een apparaat aan het betreffende IP gekoppeld is en aan staat.
En je eventueel aan de hand van specifieke eigenschappen van de reply nog wat info kan afleiden met betrekking tot het systeem dat antwoord geeft, maar heel spannend is het niet nee.
Hell, het is zelfs zo dat een webserver een ICMP packet kan sturen op basis van het feit dat jij een website bezoekt en hij wil weten welke hostname er aan het IP gekoppeld is om dat op te kunnen nemen in de accesslog.
Het is dus zelfs mogelijk dat jij het zelf aan het triggeren bent.
Dat moet ook haast wel aangezien hij achter een router zit. Ik weet niet helemaal exact hoe ICMP ook al weer in elkaar steekt, maar een ICMP request stuur je toch niet naar een specifieke poort? Dus zelfs portforwards maken het niet mogelijk om van buitenaf direct een ICMP bericht naar een host achter een NAT router te sturen, wel? En zelfs als je op je router een DMZ instelt reageert de router gewoon zelf op ICMP pakketjes en stuurt ie die niet door naar de DMZ host lijkt me?
Waarom je dat nu oppeens te zien krijgt kan een firewall instelling zijn, misschien heb je perongeluk iets veranderd of de software ge-update.

Anyway, over ICMP hoef je je geen zorgen te maken.
Tenzij de software die die ICMP requests afhandelt (netwerkdriver, besturingssysteem) een vulnerability bevat waardoor er kwaad mee te doen is. Maargoed, daar hoeft TS iig niet bang voor te zijn aangezien z'n firewall ze gewoon blokkeert (tenzij de firewall zelf kwetsbaar is :+ )


Maargoed, ik vraag me vooral af hoe ICMP pakketjes vanaf het internet bij een interne host terecht kunnen komen dus...

ThomasG: staat er een bepaald programma aan op het moment dat je die dingen binnen krijgt? Probeer terwijl je ze binnen krijgt eens wat programma's te sluiten om te zien of het daarmee over is? Je hebt ook niet iets als Hamachi draaien ofzo? (Geen idee hoe dat precies werkt, maar kan me voorstellen dat je daarmee wel vanaf het internet te bereiken bent)

Zijn het trouwens wel ICMP requests? Zijn het niet ICMP Destination unreachable replies of iets dergelijks als reactie op activiteit vanaf jouw eigen systeem, geeft je firewall nog gedetailleerdere info over die pakketjes/attacks? (nogmaals, uitsluiten dat het door een bepaald programma veroorzaakt wordt)

Zwengel eventueel even een sniffer aan (wireshark ofzo) en kijk wat er nou precies voor ICMP pakketjes binnenkomen en of er nog ander netwerkverkeer is wat misschien een verklaring zou kunnen bieden.

[ Voor 8% gewijzigd door Orion84 op 30-06-2009 19:46 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 30 juni 2009 19:41

Acties:
  • _fm
  • Registratie: September 2003
  • Niet online

_fm

Het is vermoedelijk een router verder stroomopwaarts die je het volgende wil vertellen:
(icmp type / code)
(3/13) Administratively Prohibited
Je probeert data ergens heen te sturen, en dat mag niet->wordt gefilterd.
Je firewall laat type en code wel op een merkwaardige manier zien in dat geval (bron en doel poort), maar dit lijkt me het meest waarschijnlijk.
Orion84 schreef op dinsdag 30 juni 2009 @ 19:40:
Maargoed, ik vraag me vooral af hoe ICMP pakketjes vanaf het internet bij een interne host terecht kunnen komen dus...
Een router buiten zijn netwerk ziet zijn source ip als zijnde genat door zijn modem en dus publiek maar die router heeft een rfc1918 ip adres op zijn interface. Tevens heeft hij een route naar het publieke ip van de TS en weet dus hoe hij pakketten daarheen moet krijgen. De router van TS doet de nat weer ongedaan. (icmp state matching als zijnde verkeer gerelateerd aan een tcp/udp connectie)

[ Voor 46% gewijzigd door _fm op 30-06-2009 19:46 ]

dinsdag 30 juni 2009 19:52

Acties:
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

_fm schreef op dinsdag 30 juni 2009 @ 19:41:
Het is vermoedelijk een router verder stroomopwaarts die je het volgende wil vertellen:
(icmp type / code)
(3/13) Administratively Prohibited
Je probeert data ergens heen te sturen, en dat mag niet->wordt gefilterd.
Je firewall laat type en code wel op een merkwaardige manier zien in dat geval (bron en doel poort), maar dit lijkt me het meest waarschijnlijk.


[...]

Een router buiten zijn netwerk ziet zijn source ip als zijnde genat door zijn modem en dus publiek maar die router heeft een rfc1918 ip adres op zijn interface. Tevens heeft hij een route naar het publieke ip van de TS en weet dus hoe hij pakketten daarheen moet krijgen. De router van TS doet de nat weer ongedaan. (icmp state matching als zijnde verkeer gerelateerd aan een tcp/udp connectie)
Ja, precies, zoals ik al aangaf, het moet haast wel een reactie zijn op een activiteit van TS zelf en geen standaard ICMP echo requests :)

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 30 juni 2009 21:05

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07:38

CAPSLOCK2000

zie teletekst pagina 888

ThomasG schreef op dinsdag 30 juni 2009 @ 18:58:
In drie dagen tijd zijn er 4053 !! ICMP requests geblokkeerd, en ik snap er niks van, want het zijn allemaal de zelfde "aanvallen". Er zijn verder geen instellingen verranderd in de firewall, en dit probleem is pas sinds een paar dagen.`
4053 op 3 dagen is niks. Zet er twee nullen achter, dan praten we verder.
Ik ben het met mijn voorgangers eens dat het waarschijnlijk in reactie is op iets dat je zelf doet, waarbij een router van Chello je probeert te informeren dat de bestemming niet meer te bereiken is. Je firewall verwacht niks van zo'n tussenstation en blokkert de informatie.
Niks om je zorgen over te maken

This post is warranted for the full amount you paid me for it.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq