| Author |
Message
|
Guest
Poziom 10
|
 #1
 22 Oct 2004 02:33 problem z pingami-prosze o pomoc |
|
|
|
Cześć mam pewien problem. Juz nie wiem gdzie mam pisać i kogo się pytać :(. Problem polega na tym, że aplikacja w winxp o nazwie rundll32.exe w pewnym momencie zaczyna zabierać 100% użycia procesora. W tym momencie SERVER i cała sieć zostaje zalana pingami około 4MB (widać w NetLimiterze). Nagle wszyscy użytkownicy sieci nie mają internetu. Gdy wyłącze rundll32.exe w menedzerze zadań pingi znikają, internet wraca. Ten problem mam nie tylko ja, ale także większość użytkowników mojej sieci. Wysyłałem już maile do MKS'a odpisywali mi, wysyłalem jakies klucze, itd. i tak nie pomogło. Przypuszczam, że to jakiś wirus ale nić go nie może złapać ( Panda on line, MKS, Avast, Clamwin ). Bardzobym prosił o pomoć?
ADRIAN
p.s.
sorry za styl ale się spiesze bo zara mi znowu netu braknie :D
|
|
| Back to top |
|
 |
Google
|
| #
22 Oct 2004 02:33 |
|
|
|
|
|
| Back to top |
|
|
faber
Poziom 18
Joined: 27 Apr 2004
Posts: 589
Location: Warszawa
|
#2
22 Oct 2004 09:14 Re: problem z pingami-prosze o pomoc |
|
|
|
Na początek proponuję zainstalować na wyżej wymienionej maszynie program typu firewall i zablokować port (tcp/udp) 7, czyli ping.
Sprawdzić aktywność na innych portach (trojan).
Zainstalować program Ad-aware http://www.majorgeeks.com/download506.html
|
|
| Back to top |
|
|
Google
|
| #
22 Oct 2004 09:14 |
|
|
|
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
#3
22 Oct 2004 10:36 Re: problem z pingami-prosze o pomoc |
|
|
|
Zgadzam się z opinią że to jakiś trojan.
|
|
| Back to top |
|
|
Google
|
| #
22 Oct 2004 10:36 |
|
|
|
|
|
| Back to top |
|
|
dziobass
Poziom 10
Joined: 28 Apr 2003
Posts: 52
Location: Wrocław
|
#4
23 Oct 2004 17:30 Re: problem z pingami-prosze o pomoc |
|
|
|
| Quote: |
Na początek proponuję zainstalować na wyżej wymienionej maszynie program typu firewall i zablokować port (tcp/udp) 7, czyli ping.
|
Firewall jest dobrym pomysłem, i równie dobrym pomysłem będzie zablokowanie pingów (choć to zwalczanie skutków, a nie przyczyn). Jednak w przypadku blokowania pingów, nie blokuje sie żadnych portów. Ping korzysta z protokołu ICMP, który jest częścią protokołu IP, który z kolei nie używa punktów zaczepienia, zwanych portami. W przypadku pinga maszyna pingująca wysyła pakiet ICMP o kodzie 8 (echo_request) i oczekuje pakietu ICMP o kodzie 0 (echo_replay). Opcje blokowania tych pakietów posiada znaczna część firewalli, w tym całkiem łatwy w obsłudze i przyjemny Tiny Personal Firewall:
http://www.hacking.pl/download.php?file=get&id=101.
Rundll32 jest programem, który pozwala użytkownikowi na bezpośrednie wywoływanie funkcji z dynamicznie ładowalnych bibliotek (*.dll). Przyczyną Twoich problemów jest prawdopodobnie jakis program, który wywołuje te funkcje. Musisz skorzystać z jakiegoś programu, który śledzi wszystkie tego typu wywołania. Spróbuj skorzystać z tego:
http://www.windows2003.pl/files.aspx?id=146
Pozdrawiam i powodzenia,
dziobass.
|
|
| Back to top |
|
|
faber
Poziom 18
Joined: 27 Apr 2004
Posts: 589
Location: Warszawa
|
#5
23 Oct 2004 18:01 Re: problem z pingami-prosze o pomoc |
|
|
|
| dziobass wrote: |
Jednak w przypadku blokowania pingów, nie blokuje się żadnych portów.
|
Oj blokuje się blokuje. Wystarczy zamknąć port 7 i maszyna odporna będzie na takowy atak (telnet x.x.x.x 7)
| dziobass wrote: |
W przypadku pinga maszyna pingująca wysyła pakiet ICMP o kodzie 8 (echo_request)
|
... na port 7
| dziobass wrote: |
Przyczyną Twoich problemów jest prawdopodobnie jakis program, który wywołuje te funkcje. Musisz skorzystać z jakiegoś programu, który śledzi wszystkie tego typu wywołania.
|
czyli prawdopodobnie trojan i dlatego napisałem o aktywności portów i ad-aware.
Prosze dokładnie czytać posty.
|
|
| Back to top |
|
|
dziobass
Poziom 10
Joined: 28 Apr 2003
Posts: 52
Location: Wrocław
|
#6
25 Oct 2004 00:15 Re: problem z pingami-prosze o pomoc |
|
|
|
Co do trojana, to faktycznie może być przyczyna, ale nie koniecznie.
Natomiast co do pingów i pakietów ICMP, to nadal obstaje przy swoim.
Cytat z książki "Sieci komputerowe - Kompendium"
| Quote: |
| Protokół ICMP (Internet Control Message Protocol) jest częścią warstwy Internetu, do swojego transportu wykorzystuje datagramy IP. |
Jak zapewne Ci wiadomo, protokół IP używa tylko adresów IP do identyfikacji maszyn w sieci. Portów używa wyższa warstwa, warstwa transporowa modelu ISO/OSI, wykorzystująca protokoły TCP lub UDP, w celu identyfikacji nasłuchujących procesów na danej maszynie. Zatem ponieważ ICMP jest częścią IP, która z kolei nie używa portów, więc on sam również ich nie używa. W razie wątpliwości odsyłam do wyżej wspomnianej lektury.
PS. Telnet wykorzystuje do komunikacji swój własny protokół - telnet, który jest z kolei owijany w TCP (enkapsulacja, dzięki temu telnet używa portów), następnie całość jest owijana w IP (dodawany adres maszyny), i na sam koniec całość jest owijana w ramke fizyczną (np. Ethernet, Token Ring, etc.), gdzie nadawany jest adres fizyczny - MAC i wysyłana w świat.
dziobass.
|
|
| Back to top |
|
|
Google
|
| #
25 Oct 2004 00:15 |
|
|
|
|
|
| Back to top |
|
|
faber
Poziom 18
Joined: 27 Apr 2004
Posts: 589
Location: Warszawa
|
#7
25 Oct 2004 08:47 Re: problem z pingami-prosze o pomoc |
|
|
|
Oczywiście, że ICMP jest częścią IP i różnica TCP UDP i ICMP jest mi znana :)
Chodzi o to iż według mnie mamy doczynienia z wysyłaniem ICMP Echo Requests na adres broadcast ponieważ cała sięć się blokuje (opisuje to kolega na początku) a za tym prychodzi tylko jedno na myśl : Smurf/Fraggle Attack.
Rozwiązaniem tego problemu jest w skrócie:
...-p UDP --dport 7 -j DROP
...-p TCP --dport 7 -j DROP
|
|
| Back to top |
|
|
