Just nu i M3-nätverket
Jump to content

ICMPflood


Zeta

Recommended Posts

Hej.

Vety inte om detta är rätt forum.....

 

Jag har en brandvägg (Black Ice) och har sedan 6-tiden imorse fått en massa "attacker" (pratar om en 40-tal från olika ip-adress) av ICMP-flood... Vad är det och kan man avhjälpa det?

 

Vad innebär att "This attack is very likely to be spoofed."?

 

Tacksam för svar.

 

/Zeta

”The best way to escape from a problem is to solve it.”

 

Link to comment
Share on other sites

ICMP-meddelanden skickas bland annat för att berätta ifall paket inte har kommit fram. Det finns egentligen inte så mycket mer du kan göra än att vänta ut det.

 

Vad innebär att "This attack is very likely to be spoofed."?

 

ICMP-paket har ingen... "säkerhet". Att "spoofa" innebär att man har en annan avsändare på paketen som skickas. Man kan bland annat använda det för avancerade attacker, men det vanligaste är "blind spoofing" och bara använder en slumpmässig avsändare. Därför "går det inte" att spåra.

 

Ciao,

Anders

- "It is a mistake to think you can solve any major problems just with potatoes."

 

Link to comment
Share on other sites

Enligt ett annat forum jag brukar besöka är det något som händer nu:

I read that there's a ms iis and sql worm has just been unleashed on the internet, penetration of the worm is high, and major backbones are under considerable attack.

Själv har min ZoneAlarm logg fått frispel (lätt överdrift) av en massa anslutningsförsök till port 1434 (som tydligen har något med Microsoft SQL att göra). Alla försök kommer från olika IP-nummer.

 

Link to comment
Share on other sites

"Själv har min ZoneAlarm logg fått frispel (lätt överdrift) av en massa anslutningsförsök till port 1434 (som tydligen har något med Microsoft SQL att göra). Alla försök kommer från olika IP-nummer."

Upplever precis samma sak. Hinner knappt läsa Zone Alarms alert förrän en ny poppar upp. Och det gäller port 1434.

Och så har det varit hela denna morgon. Men inte förut.

 

[inlägget ändrat 2003-01-25 11:41:36 av Maratonmannen]

Link to comment
Share on other sites

Japp.

 

Enligt den information jag har fått så är masken bara 376 bytes stor. Allt den gör är att sprida sig. Den försöker tydligen i en loop ansluta till IP-adressen "GetTickCount()".

 

GetTickCount() returnerar antalet millisekunder sedan datorn startades, och slår runt efter ungefär 50 dagar, så.. i en evig loop kommer en dator infekterad av masken att försöka sprida sig till "alla" ip-adresser.

 

Säkerhetshålet som masken utnyttjar finns i MS SQL Server 2000, och hålet hittades, och en patch släpptes för ungefär ett halvår sedan.

 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

 

Ciao,

Anders

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...