PDA

Просмотр полной версии : Что это за приливы...(firewall один процесс с разных IP)


ganner_Hans
22-08-2002, 14:51
Здравствуй, уважаемый ALL!
Сегодня с утра такое вот волнение фиреволя. Интересно тем, что один процесс идет с разных IP ~ ч-з 10 сек. После прерывания и восстановления связи с инетом, все возобновилось. Кто-то может объяснить это природное явление? Привожу лог (хронология снизу, и спасибо, кто дочитал):
Firewall Event Log
________________
22.08.02 09:43:49.780 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:43:39.197 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:43:28.303 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:43:17.675 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:43:07.427 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:56.968 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:46.460 Rule "Implicit block rule" blocked (1Cust66.tnt2.ladue.mo.da.uu.net,0). Details:
Inbound ICMP request
Local address is (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:45.570 Interactive learning mode is disabled
22.08.02 09:42:45.570 Firewall is enabled. It has successfully processed a total of 37 rules
________________
22.08.02 09:42:39.706 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:26.733 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:16.539 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:42:06.416 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:41:56.457 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (1Cust66.tnt2.ladue.mo.da.uu.net)
Message type is "Echo Reply"
Process name is "N/A"
________________
22.08.02 09:41:52.618 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (tnt2.ladue.mo.da.uu.net)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:41:42.219 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (152.63.93.89)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
// здесь я прерывал связь с провом
//(адреса, сами понимаете, назначаются динамически)
________________
22.08.02 09:36:06.220 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (146.188.32.25)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:56.412 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (193.219.193.132)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:48.153 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (193.219.192.6)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:33.915 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (212.35.160.97)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:22.097 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (212.35.171.113)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:14.698 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (213.130.0.106)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:13.863 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (213.130.0.28)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:12.183 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (213.130.1.254)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 09:35:09.719 This one time, the user has chosen to "block" communications. Details:
Inbound ICMP request
Local address (MY_ADDRESS)
Remote address is (213.130.1.226)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
________________
22.08.02 08:44:04.527 NDIS filtering is enabled
22.08.02 08:43:52.004 Interactive learning mode is enabled
22.08.02 08:43:52.004 Firewall is enabled. It has successfully processed a total of 37 rules

 
 

Crazy user
22-08-2002, 15:54
Узнаю AtGuard-овский лог http://old.windowsfaq.ru/ubb/smile.gif
Это приходят ответы на пинги, посылаемые твоей машиной по этим адресам. Вообще-то для начала с твоей машины должны уйти запросы к ним, видимо у тебя есть правило их выпускать. Похоже у тебя какая-то сифа пытается с внешним миром связаться, вирус там какой-нибудь или троянчик завалящийся...

Лёха
22-08-2002, 17:19
вообще из входящих ICMP полезно блокировать redirect, отсальное - дело вкуса, но в плане безопасности сами по себе остальные типы сообщений ICMP безвредны. В этом списке я увидел только echo replay (ответ на пинг) и time exceeded (то же, что и "время ожидания истекло"), зачем они закрыты на входе - не ясно.

ganner_Hans
22-08-2002, 19:59
Спасибо большое. Должен был сам допереть, если бы внимательнее смотрел в лог.
Последнее время ковырялся с настройками AtGuard_а. Насчет вирусни у меня все чисто, а вот на кого я сразу подумал так это на NukeNabber, которому в последний раз дал все права, а вот исходящие TCP разрешил всем (зевнул).
В общем сейчас на всякий просканил на вирусы и трояны - все чисто, затем отредактировал правила для ФВ.
Ч-з некоторое время по старым адресам (вроде тот-же "куст", что и в утреннем логе) полез NukeNabber точнее его Report.exe (по TCP). В связи с этим вопрос: Что заставляет NukeNabber запускать finger & whois? Не атака ли по подшефным ему портам с этих хостов?
Фрагмент лога:
Firewall Event Log
22.08.02 17:38:32.096 This one time, the user has chosen to "permit" communications. Details:
Outbound TCP connection
Remote address,service is (rs.internic.net,whois)
Process name is "C:\PROGRAM FILES\NUKENABBER\REPORT.EXE"

22.08.02 17:36:29.790 This one time, the user has chosen to "permit" communications. Details:
Outbound TCP connection
Remote address,service is (tnt1.ladue.mo.da.uu.net,finger)
Process name is "C:\PROGRAM FILES\NUKENABBER\REPORT.EXE"

22.08.02 17:36:21.776 This one time, the user has chosen to "block" communications. Details:
Outbound TCP connection
Remote address,service is (2Cust87.tnt1.ladue.mo.da.uu.net,finger)
Process name is "C:\PROGRAM FILES\NUKENABBER\REPORT.EXE"

PS:Лёха, отнюдь не все кроме redirect безвредно в ICMP (др. тема), но я просто вчера заблокировал все входящие из инета (сегодня исправил).

Лёха
22-08-2002, 21:33
насколько я помню, этот NukeNabber должен тебе выдавать информацию о попытках подключения. Вот и пытается он эту информацию стандартными путями получить - получить адрес владельца подсети с помощью whois, откуда был запрос, а потом информацию об определённом пользователе в этой сети с помощью finger.
отнюдь не все кроме redirect безвредно в ICMP - а это интересно, что ещё может повлиять на безопасность само по себе. Я например помню только 7 типов сообщений ICMP, и ни один из них кроме редиректа ничем навредить не может, т.к. они являются только информационными, т.е. без возможности выполнить какие-то функции (типа изменения маршрута в том же редиректе).

Crazy user
23-08-2002, 11:07
Лично я среди ICMP всегда закрываю входящие Echo Request, нефига меня пинговать.

ganner_Hans
23-08-2002, 13:34
По поводу ICMP – по-моему их 15 типов:
EchoReply
EchoRequest
DestinationUnreachable
SourceQuench
Redirect
RouterAdvertisement
RouterSolicitation
TimeExeededForADatagram
ParameterProblemOnADatagram
TimestampRequest
TimestampReply
InformationRequest
InformationReply
Address-maskRequest
Address-maskReply
Я и не говорю, что типы сообщений ICMP сами по себе нарушают безопасность. Сами по себе они создавались для пользы. Другое дело как их можно использовать.
Если можно, цитата (Джоел Скембрей, Стюарт Мак-Клар, Джордж Курц;
«Секреты хакеров. Безопасность сетей – готовые решения».):
«Мы рекомендуем очень внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP между узлами вашей сети и Internet... Даже если вы твердо убеждены в том, что нельзя полностью заблокировать протокол ICMP, обязательно заблокируйте те типы сообщений, которые вам не нужны для работы. Как правило, вполне достаточно, чтобы с зоной DMZ можно было взаимодействовать посредством ECHO_REPLY, HOST_UNREACHABLE и TIME_EXCEEDED....
Несмотря на удобство и мощь протокола ICMP с точки зрения диагностирования сетевых проблем, он с успехом может использоваться и для создания таких проблем... Разрешив неограниченный доступ по протоколу ICMP во внутреннюю сеть, вы тем самым предоставляете взломщикам возможность реализовать нападение типа DoS (например с помощью Smurf-метода). Более того, если взломщику удастся проникнуть в один из ваших компьютеров, он может через «потайной ход» в операционной системе с помощью таких программ, как loki, организовать скрытое тунеллирование данных, передаваемых по протоколу ICMP.»
О программе loki из Phrack Magazine http://www.hackersrussia.ru/ :
“ LOKI2 is an information-tunneling program. It is a proof of concept work
intending to draw attention to the insecurity that is present in many network
protocols. In this implementation, we tunnel simple shell commands inside of
ICMP_ECHO / ICMP_ECHOREPLY and DNS namelookup query / reply traffic....
The vulnerabilities presented here are not new. They have been known
about and actively exploited for years. LOKI2 is simply one possible
implementation. Implementations of similar programs exist for UDP, TCP, IGMP,
etc... This is by no means limited to type 0 and type 8 ICMP packets.”

Думаю, что верить можно.

Лёха
23-08-2002, 22:00
чё то не пойму, откуда 15? По памяти помню 7, у которых если учесть отдельно ответ-запрос, получится 11:

0 ответ на запрос эхо
3 адресат недостижим
4 приостановка отправителя
5 переадресация
8 эхо-запрос
11 превышение контрольного времени
12 проблемы с параметрами
13 штамп времени
14 ответ на запрос штампа времени
15 запрос информации
16 ответ на запрос информации
Вроде ещё добавлялись типы 17 и 18 в последний год (это те, которые Address-maskRequest Address-maskReply), но на них описания у меня нет и я абсолютно не уверен, что они входят в реализацию стека TCP/IP от мелкософта для версий до ХР. А 15 типов - это что-то много http://old.windowsfaq.ru/ubb/smile.gif И хоть убей не пойму, где может быть скрыта опасность в остальных типах кроме редиректа. Туннелирование - это абсолютно не уязвимость, иначе можно говорить об принципиальной изначальной уязвимости http, т.к. туннелирование в нём предусмотено изначально. Уже давно есть методы туннелирования через UDP по 53 порту, который ну никак не закроешь http://old.windowsfaq.ru/ubb/smile.gif и т.д...

ganner_Hans
26-08-2002, 15:50
Пишу с задержкой т.к. на работе выходные, а дома инета не имею.
В спецификации протокола ICMP (Internet Control Message Protocol) RFC792 действительно перечисляются только эти типы (всего 11).
Типы сообщений Address Mask Request (код 17) и Address Mask Reply (код 18) описаны в документе RFC950 "Internet Standard Subnetting Procedure": ftp://ftp.isi.edu/in-notes/rfc950.txt (август 1985 однако)
И все-таки...
Существует 15 различных значений для поля типа (type), которые указывают на конкретный тип
ICMP сообщения. Для некоторых ICMP сообщений используются различные значения в поле кода
(code), подобным образом осуществляется дальнейшее подразделение ICMP сообщений.
тип код Описание
0 0 эхо-отклик (отклик-Ping)

3 назначение недоступно:
3 0 сеть недоступна - network unreachable
3 1 хост недоступен - host unreachable
3 2 протокол недоступен - protocol unreachable
3 3 порт недоступен - port unreachable
3 4 необходима фрагментация, однако установлен бит "не
фрагментировать"- fragmentation needed but don't-fragment bit set
3 5 не работает маршрутизация от источника - source route faile
3 6 неизвестна сеть назначения - destination network unknown
3 7 неизвестен хост назначения - destination host unknown
3 8 хост источник изолирован - source host isolated
3 9 сеть назначения закрыта администратором - destination network
administrativrly prohibited
3 10 хост назначения закрыт администратором - destination host
administrativrly prohibited
3 11 сеть недоступна для TOS - network unreachable for TOS
3 12 хост недоступен для TOS - host unreachable for TOS
3 13 связь административно закрыта путем фильтрации - communication
administratively prohibited by filtering
3 14 нарушено старшинство для хоста - host precedence violation
3 15 старшинство разъединено - precedence cutoff in effect

4 0 подавление источника (элементарное управление потоком данных) -
source quench

5 перенаправление - redirect
5 0 перенаправление в сеть - redirect for network
5 1 перенаправление в хост - redirect for host
5 2 перенаправление для типа сервиса и сети - redirect for type-of-service
and network
5 3 перенаправление для типа сервиса и хоста - redirect for type-of-service
and host

8 0 эхо запрос - echo request

9 0 объявление маршрутизатора - router advertisement

10 0 запрос к маршрутизатору - router solicitation

11 время истекло - time exceeded:
11 0 время жизни стало равным 0 в процессе передачи - time-to-live equals 0
during transit
11 1 время жизни стало равным 0 в процессе повторной сборки - time-to-live
equals 0 during reassembly

12 проблемы с параметрами - parameter problem:
12 0 неверный IP заголовок - IP header bad
12 1 отсутствует необходимая опция - required option missing

13 0 запрос временной марки - timestamp request

14 0 отклик с временной маркой - timestamp reply

15 0 информационный запрос - information request

16 0 информационный отклик - information reply

17 0 запрос маски адреса - address mask request

18 0 отклик с маской адреса - address mask reply

По поводу тунеллирования молчу, потому что не знаю. Согласен, что это не уязвимость, а "сермяжная правда жизни", и если нельзя закрыть 53 порт и протокол ICMP полностью, то зачем разрешать типы, используемые такими прогами как loki и не очень то нужными мне на данный момент (типами). Сейчас разрешаю только echo request, echo reply, destination unreachable & time exeeded for a datagram и замедления в работе с инетом не заметил.

Лёха
26-08-2002, 16:41
ну вот, обоим пришлось запостить по половине RFC792 чтоб выяснить, что речь об одном и том же. Опасны не сами сообщения ицмп, а альтернативные способы их использования.
ganner_Hans за ссылки на описание 17 и 18 сенькс.

ganner_Hans
26-08-2002, 20:07
Лёха, я не полез бы вглубь, если б ты не усомнился.
Так что спасибо тебе.:beer:

ganner_Hans
26-08-2002, 21:27
Лёха, возможно, если б ты не усомнился, то я бы не копал глубжее.
Так что тебе спасибо.:beer:

romx
28-08-2002, 12:12
Меня туннелили через DNS с полгода назад. Всю голову сломал пока понял. Траффик течет, а в логах ничо нет. Вообще опасная штука на самом деле. На деньги ставит тока так...