ICMP

ICMP - Windows & Software

Marsh Posté le 27-04-2002 à 15:12:25    

Salut,  
 
J ai mon Tiny Personal FW qui me dit que j ai une applis qui veux envoyer une requette ICMP sur une machine de chez Wanadoo.fr
 
l application est TCPIP kernel driver. ce que je comprend pas c est que j ai strictement rien a voir avec Wanadoo.
 
 
ce peut il que ce soit un cheval de troie ?


---------------
#mais-chut
Reply

Marsh Posté le 27-04-2002 à 15:12:25   

Reply

Marsh Posté le 27-04-2002 à 15:37:52    

icmp = ping!

Reply

Marsh Posté le 28-04-2002 à 01:43:58    

ba oui mais pourkoi ma machine va tocker chez kk1 de chez Wanadoo ?


---------------
#mais-chut
Reply

Marsh Posté le 28-04-2002 à 01:46:41    

krapaud a écrit a écrit :

icmp = ping!  




 
ICMP n'égale pas QUE les PINGs, cf http://www.erg.abdn.ac.uk/users/go [...] -code.html
 
 
Type    Name                                    Reference
----    -------------------------               ---------
  0     Echo Reply                               [RFC792]
  1     Unassigned                                  [JBP]
  2     Unassigned                                  [JBP]
  3     Destination Unreachable                  [RFC792]
  4     Source Quench                            [RFC792]
  5     Redirect                                 [RFC792]
  6     Alternate Host Address                      [JBP]
  7     Unassigned                                  [JBP]
  8     Echo                                     [RFC792]
  9     Router Advertisement                    [RFC1256]
 10     Router Selection                        [RFC1256]
 11     Time Exceeded                            [RFC792]
 12     Parameter Problem                        [RFC792]
 13     Timestamp                                [RFC792]
 14     Timestamp Reply                          [RFC792]
 15     Information Request                      [RFC792]
 16     Information Reply                        [RFC792]
 17     Address Mask Request                     [RFC950]
 18     Address Mask Reply                       [RFC950]
 19     Reserved (for Security)                    [Solo]
 20-29  Reserved (for Robustness Experiment)        [ZSu]
 30     Traceroute                              [RFC1393]
 31     Datagram Conversion Error               [RFC1475]
 32     Mobile Host Redirect              [David Johnson]
 33     IPv6 Where-Are-You                 [Bill Simpson]
 34     IPv6 I-Am-Here                     [Bill Simpson]
 35     Mobile Registration Request        [Bill Simpson]
 36     Mobile Registration Reply          [Bill Simpson]
 37-255 Reserved                                    [JBP]


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-04-2002 à 01:48:16    

Z_cool a écrit a écrit :

ba oui mais pourkoi ma machine va tocker chez kk1 de chez Wanadoo ?  




Peut-être parceque quelqu'un ayant Wanadoo comme provider tente de te pinguer.
Si c'est le cas, ta machine est en train de t'indiquer qu'elle reçoit un ICMP ECHO_REQUEST ou qu'elle renvoie un ICMP ECHO_REPLY (suite au REQUEST).


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 28-04-2002 à 02:52:31    

ça peut pas tout simplment être un "routeur" wanadoo qui veut voir si t'es toujours connecté?
deny, et voit ce qui se passe! si tu pers ta connection, accept le et log pour voir si c'est toujours la m^m ip, fait un tracert après et vois si l'ip apparait! si c'est le cas, spécifie cette ip pour la regle!

Reply

Marsh Posté le 30-04-2002 à 11:33:05    

j'ai le même problème.
Quand je fais deny j'ai parfois une déconnexion, mais pas toujours. l'adresse vers laquelle Kernel Driver essaye de répondre n'est pas toujours la même.
Donc si j'ai bien suivi frenzy, lorsque je fais deny et que je suis déconnecté, c'est que le message venait d'un routeur wanadoo (à vérifier avec un tracert) donc  une règle à ajouter dans le firewall
correct ?

Reply

Marsh Posté le 30-04-2002 à 12:29:12    

HAL a écrit a écrit :

j'ai le même problème.
Quand je fais deny j'ai parfois une déconnexion, mais pas toujours. l'adresse vers laquelle Kernel Driver essaye de répondre n'est pas toujours la même.
Donc si j'ai bien suivi frenzy, lorsque je fais deny et que je suis déconnecté, c'est que le message venait d'un routeur wanadoo (à vérifier avec un tracert) donc  une règle à ajouter dans le firewall
correct ?  




 
ouep, mais a priori kernel driver n'as rien a faire a communiquer avec internet! il te manque peut être une regle dhcp pour ton firewall!
t'utilise kerio ou tiny?

Reply

Marsh Posté le 30-04-2002 à 16:16:50    

tiny
DHCP ? c'est pour m'attribuer une nouvelle IP ?
en tout cas je peux bloquer TCP Kernel Driver au niveau du FW d'après toi (ce que je fais "manuellement" en ce moment à coup de Deny

Reply

Marsh Posté le 30-04-2002 à 16:38:31    

peut etre qu'on essaye de te faire un icmp spoof (te piquer ton ip et se faire passer pour toi), attribue des regles de sécu avec ton firewall ... ou install un unix.

Reply

Marsh Posté le 30-04-2002 à 16:38:31   

Reply

Marsh Posté le 30-04-2002 à 16:42:39    

KarLKoX a écrit a écrit :

...attribue des regles de sécu avec ton firewall ...



d'accord mais quelles règles ?
si c'est uniquement TCP Kernel Driver, outgoing, protocole *, deny ce sera fait ce soir, si c'est autre chose dites le moi
 
Pour unix, ça ne va pas être possible ;), au pire ce sera Firewall hardware, si ils font des promos

Reply

Marsh Posté le 30-04-2002 à 16:53:25    

pas trop d'accord avec tout ceci :
 
1. chez moi : en ICMP sortant, je n'autorise que le Echo Request, et pas de déconnection de quelque genre.
 
2. au boulot : dans un contrat pro avec garantie de service (sauf attaque Deny Of Service non garantie  :lol: ) et un hébergeur web sérieux, l'hébergeur interdit le ftp, ..., et tout l'icmp. sinon pas de garantie. ça surprend (même pas de ping :crazy: ), mais c comme ça. cqfd  :jap:


---------------
bah kestufou ?
Reply

Marsh Posté le 30-04-2002 à 17:18:11    

HAL a écrit a écrit :

tiny
DHCP ? c'est pour m'attribuer une nouvelle IP ?
en tout cas je peux bloquer TCP Kernel Driver au niveau du FW d'après toi (ce que je fais "manuellement" en ce moment à coup de Deny  




 
si tu utilise le dhcp t'as besoin de faire des regles pour que ça marche! u peux commencer par faire une règles dhcp:
 
protocole: UDP
directions: both
local port: 68
remote adress:any   port:67
allow
 
et tu log la regle! tu surf normalement pendant quelques temps, a la rigueur si t'es sous 98 tu fait un IP release all/renew all (je crois que c'est ça) et tu regarde ton log après!
tu devrais avoir une entré vers le serveur dhcp de ton fai (entrant et sortant), et une autre de 255.255.255.255 sortant uniquement! il faut que tu crées des règles pour ces 2/3 entrées
 
dhcp 1: udp, both directions, local port 68, remote adress du serveur dhcp de ton fai port 67, allow!
dhcp 2: udp, incoming, local port 68, remote adress 255.255.255.255 port 67, allow!
dhcp 3 (deny): udp, incoming, 68, any adress:67, deny et log (le fait de le loguer va te permettre de voir si en cas de déco t'as pas besoin de donner accès a un deuxiéme serveur dhcp)
 
pour ce qui est de l'icmp, voici mes regles:
 
icmp 8 (le 8 étant le type d'icmp): icmp / out / any port / any remote adress / allow
icmp 0,3,11 : icmp / in /any port / any remote adress/port  / allow
 
ces deux regles de permettent de pinger et de faire un tracert!
 
puis
icmp deny (all) : icmp (tous les types d'icmp), both directions, any adress / any port / deny et log si tu trouve ça utile!
 
l'ordre des régles est importante!
 
puis pour affiner le truc, fait une regles tout a la fin de tes regles:
 
ANY : protocol( any) / both directions /  any port / any remote adress and port / deny (log le au début pour voir ce qui cloche si tu perd ta connection ou si t'a un app qui ne peux pas se connecter)

Reply

Marsh Posté le 30-04-2002 à 17:24:08    

frenzy  :jap:

Reply

Marsh Posté le 30-04-2002 à 18:47:28    

HAL a écrit a écrit :

frenzy  :jap:  




 
pasdequoi   [:poisse]

Reply

Marsh Posté le 30-04-2002 à 19:00:56    

Comment tu pourrai avoir :  
 
"udp, incoming, local port 68, remote adress 255.255.255.255 port 67, allow!"
 
Ca voudrait pas dire que tu reçois un paquet provenant de 255.255.255.255 ?

Reply

Marsh Posté le 30-04-2002 à 20:24:10    

merou91 a écrit a écrit :

Comment tu pourrai avoir :  
 
"udp, incoming, local port 68, remote adress 255.255.255.255 port 67, allow!"
 
Ca voudrait pas dire que tu reçois un paquet provenant de 255.255.255.255 ?  




 
OOPS....coquille.....c'est outbound biensur...désoled!  [:nofret]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed