Мой компьютер отправляет ICMP-пакеты в произвольные пункты назначения
Мой компьютер отправляет ICMP-пакеты в произвольные пункты назначения. Я не могу понять причину. Дамп одного из пакетов:
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 3 (Port unreachable)
Checksum: 0x811b [correct]
Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 131
Identification: 0x0631 (1585)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 111
Protocol: UDP (17)
Header checksum: 0xc19b [correct]
[Good: True]
[Bad: False]
Source: 80.167.113.76 (80.167.113.76)
Destination: 192.168.1.2 (192.168.1.2)
User Datagram Protocol, Src Port: 61846 (61846), Dst Port: 25660 (25660)
Source port: 61846 (61846)
Destination port: 25660 (25660)
Length: 111
Checksum: 0x4b45 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Data (103 bytes)
Data: 64313a6164323a696432303abe916abba14b8cb8a7167ce0...
Что подразумевается под этими произвольными ICMP-пакетами? Я боюсь руткита. Пожалуйста, помогите.
операционная система: Windows 7 Ultimate
4 ответа
Это нормально, и само по себе не должно быть поводом для каких-либо забот. Случилось так, что компьютер с IP-адресом 80.167.113.76 отправил пакет UDP на ваш компьютер на порт 25660. На вашем компьютере ничего не работает, ожидая пакетов UDP в этом порту, затем ваш компьютер отправляет этот пакет ICMP обратно источник, сообщающий, что на данном порту ничего не было достигнуто (ICMP Type=3 Code=3 → Порт недоступен). Пакет ICMP содержит копию заголовков первоначально отправленного пакета (в обратном направлении).
Если вы получаете эту информацию от анализатора пакетов (выглядит как wireshark?), То ищите входящий пакет UDP с этого IP-адреса, поступающий до пакета, который вы только что скопировали в этом вопросе.
Конечно, вы используете интернет-провайдера, который динамически назначает IP-адреса пользователям. Вероятно, ваш текущий IP-адрес использовался кем-то, работающим с каким-либо приложением P2P, и ваш IP плюс эта комбинация портов были кешированы в чужом приложении, а затем тот попытался подключиться обратно к исходному пользователю, который использовал этот IP.
Не нужно беспокоиться, правда. Но если это вас беспокоит, вы можете установить межсетевой экран с сохранением состояния, который просто отбрасывает пакеты для неотслеживаемых сеансов. Вместо отправки сообщения "Порт недоступен" в источник, брандмауэр просто отбрасывает исходный пакет, так как он не будет в своей внутренней таблице соединений.
Такой инструмент, как TCPView, должен показывать, какой процесс создает эти пакеты. Это должно дать вам лучшее представление об их цели.
Я думаю, что вы получаете порт ICMP, недоступный для UDP 80.167.113.76 через порт 25660. Это означает, что приложение на вашем компьютере пытается подключиться к 80.167.113.76:25660 по протоколу UDP, и ни один удаленный сервис не прослушивает этот порт, или он фильтруется.
Возможно, вы используете приложение P2P, которое пытается подключиться к некоторым клиентам, которые находятся за брандмауэром.
ICMP не имеет состояния (без сеанса), поэтому трудно отследить процесс, который создает запросы с использованием общих сетевых инструментов для окон.
Используйте такой инструмент, как listdlls от sysinternals. Затем вы можете увидеть, какой процесс загрузил icmp.dll:
C: \ Documents and Settings \ пользователь> listdlls -d icmp ListDLLs v3.1 - список загруженных DLL Copyright (C) 1997-2011 Марк Руссинович Sysinternals - www.sysinternals.com -------------------------------------------------- -------------- Belkinwcui.exe pid: 2484 Командная строка: "C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe" Базовый размер пути 0x74290000 0x4000 ICMP.DLL