web-dev-qa-db-ja.com

コンピューターがICMPパケットを任意の宛先に送信しています

私のコンピュータはICMPパケットを任意の宛先に送信しています。理由がわかりません。パケットの1つのダンプは次のとおりです。

Internet Control Message Protocol
    Type: 3 (Destination unreachable)
    Code: 3 (Port unreachable)
    Checksum: 0x811b [correct]
    Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 131
        Identification: 0x0631 (1585)
        Flags: 0x00
            0... .... = Reserved bit: Not set
            .0.. .... = Don't fragment: Not set
            ..0. .... = More fragments: Not set
        Fragment offset: 0
        Time to live: 111
        Protocol: UDP (17)
        Header checksum: 0xc19b [correct]
            [Good: True]
            [Bad: False]
        Source: 80.167.113.76 (80.167.113.76)
        Destination: 192.168.1.2 (192.168.1.2)
    User Datagram Protocol, Src Port: 61846 (61846), Dst Port: 25660 (25660)
        Source port: 61846 (61846)
        Destination port: 25660 (25660)
        Length: 111
        Checksum: 0x4b45 [validation disabled]
            [Good Checksum: False]
            [Bad Checksum: False]
    Data (103 bytes)

Data: 64313a6164323a696432303abe916abba14b8cb8a7167ce0...

これらの任意のICMPパケットとはどういう意味ですか?ルートキットが怖いです。親切に助けてください。

オペレーティングシステム:Windows 7 Ultimate

2
user58859

これは正常であり、単独で心配する必要はありません。何が起こったのかというと、IP 80.167.113.76のコンピューターがUDPパケットをコンピューターのポート25660に送信しました。このポートでUDPパケットを待機しているコンピューターで何も実行されていない場合、コンピューターはこのICMPパケットをに送り返します。指定されたポートに何も到達していないことを示すオリジン(ICMPタイプ= 3コード= 3→ポートに到達できません)。 ICMPパケットには、最初に(反対方向に)送信されたパケットのヘッダーのコピーが含まれています。

パケットスニファ(wiresharkのように見えますか?)からこの情報を取得している場合は、この質問でコピーしたパケットの前に到着する、そのIPからの着信UDPパケットを探します。

確かに、IPアドレスをユーザーに動的に割り当てるISPを使用しています。おそらく、現在のIPアドレスがP2Pアプリケーションを実行している誰かによって使用されていて、IPとこのポートの組み合わせが他の誰かのアプリケーションにキャッシュされ、そのIPアドレスがこのIPを使用していた元のユーザーに接続しようとしました。

本当に心配する必要はありません。ただし、気になる場合は、追跡されていないセッションのパケットを単にドロップするステートフルファイアウォールをインストールすることをお勧めします。 「PortUnreachable」メッセージをオリジンに送信する代わりに、ファイアウォールは元のパケットを内部接続テーブルにないため、単にドロップします。

5
Juliano

TCPViewのようなツールを使用すると、どのプロセスがこのパケットを作成しているかを確認できます。それはあなたに彼らの目的のより良い考えを与えるはずです。

http://technet.Microsoft.com/en-us/sysinternals/bb897437

2

ICMPはステートレス(セッションなし)であるため、Windows用の一般的なネットワークツールを使用して要求を作成しているプロセスを追跡することは困難です。

Sysinternalsのlistdllsのようなツールを使用します。次に、どのプロセスがicmp.dllをロードしたかを確認できます。

 C:\ Documents and Settings\user> listdlls -d icmp 
 
 ListDLLsv3.1-ロードされたDLLの一覧表示
 Copyright(C)1997-2011 Mark Russinovich 
 Sysinternals-www.sysinternals.com 
 
 ---------------------------- ------------------------------------ 
 Belkinwcui.exe pid:2484 
コマンドライン: "C:\ Program Files\Belkin\F5D7050v3\Belkinwcui.exe" 
 
ベースサイズパス
 0x74290000 0x4000 ICMP.DLL 

- http://www.linkedin.com/answers/technology/information-technology/computer-networking/TCH_ITS_CNW/12726-1647009

0
jc1

ポート25660でUDP80.167.113.76に到達できないICMPポートを受信して​​いると思います。これは、コンピューター上のアプリケーションがUDPプロトコルを介して80.167.113.76:25660に接続しようとしており、そのポートでリモートサービスがリッスンしていないことを意味します。フィルタリングされます。

ファイアウォールの背後にあるいくつかのクライアントに接続しようとしているP2Pアプリケーションを実行している可能性があります。

0