Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

ICMPflood

Zeta

Startad av Zeta,
i Virus, skadliga program & botemedel

Rekommendera Poster

Zeta

Zeta

Postad
Postad

Hej.

Vety inte om detta är rätt forum.....

 

Jag har en brandvägg (Black Ice) och har sedan 6-tiden imorse fått en massa "attacker" (pratar om en 40-tal från olika ip-adress) av ICMP-flood... Vad är det och kan man avhjälpa det?

 

Vad innebär att "This attack is very likely to be spoofed."?

 

Tacksam för svar.

 

/Zeta

”The best way to escape from a problem is to solve it.”

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

ICMP-meddelanden skickas bland annat för att berätta ifall paket inte har kommit fram. Det finns egentligen inte så mycket mer du kan göra än att vänta ut det.

 

Vad innebär att "This attack is very likely to be spoofed."?

 

ICMP-paket har ingen... "säkerhet". Att "spoofa" innebär att man har en annan avsändare på paketen som skickas. Man kan bland annat använda det för avancerade attacker, men det vanligaste är "blind spoofing" och bara använder en slumpmässig avsändare. Därför "går det inte" att spåra.

 

Ciao,

Anders

- "It is a mistake to think you can solve any major problems just with potatoes."

 

Länk till kommentar
Dela på andra webbplatser
Zeta

Zeta

Postad
  • Trådskapare
Postad

Tack för svaret.

Och naturligtvis får du en poäng :)

 

/Zeta

”The best way to escape from a problem is to solve it.”

 

Länk till kommentar
Dela på andra webbplatser
Bonzo

Bonzo

Postad
Postad

Enligt ett annat forum jag brukar besöka är det något som händer nu:

I read that there's a ms iis and sql worm has just been unleashed on the internet, penetration of the worm is high, and major backbones are under considerable attack.

Själv har min ZoneAlarm logg fått frispel (lätt överdrift) av en massa anslutningsförsök till port 1434 (som tydligen har något med Microsoft SQL att göra). Alla försök kommer från olika IP-nummer.

 

Länk till kommentar
Dela på andra webbplatser
Avicii

Avicii

Postad
Postad
"Själv har min ZoneAlarm logg fått frispel (lätt överdrift) av en massa anslutningsförsök till port 1434 (som tydligen har något med Microsoft SQL att göra). Alla försök kommer från olika IP-nummer."

Upplever precis samma sak. Hinner knappt läsa Zone Alarms alert förrän en ny poppar upp. Och det gäller port 1434.

Och så har det varit hela denna morgon. Men inte förut.

 

[inlägget ändrat 2003-01-25 11:41:36 av Maratonmannen]

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

Japp.

 

Enligt den information jag har fått så är masken bara 376 bytes stor. Allt den gör är att sprida sig. Den försöker tydligen i en loop ansluta till IP-adressen "GetTickCount()".

 

GetTickCount() returnerar antalet millisekunder sedan datorn startades, och slår runt efter ungefär 50 dagar, så.. i en evig loop kommer en dator infekterad av masken att försöka sprida sig till "alla" ip-adresser.

 

Säkerhetshålet som masken utnyttjar finns i MS SQL Server 2000, och hålet hittades, och en patch släpptes för ungefär ett halvår sedan.

 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

 

Ciao,

Anders

 

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...