BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Firewall ICMP Protokoll Angriff auf Router-Firewall (http://www.black-board.net/thread.php?threadid=20700)

Geschrieben von deklarmart am 30.06.2005 um 13:32:

Fragezeichen ICMP Protokoll Angriff auf Router-Firewall

wenn ich ab und zu mal meinen esel anschmeiße bekomme ich schon kurz
danach, meldungen von meiner router-firewall über erfolgte angriffe!
diese meldungen lasse ich mir per mail zusenden, damit ich sie immer sofort
bekomme.

weiß jemand wodurch das kommt? eine meldung die in letzter zeit häufiger ankommt
siehst so aus:


No.: 1
Time: 30/06/2005 13:21:55
Source IP: 213.150.176.1
Destination IP: 192.168.0.1
Note: ATTACK vulnerability ICMP (type:11, code:0)

End of Alert

sonst hieß es immer "blocked" aber nun macht dieses "vulnerability" mir sorgen.
heißt das, da ist was durchgekommen? soweit ich weiß ist das ICMP protokoll
nur für fehler-berichterstattung zuständig und es gibt lediglich exploits für
DOS, POD und Redirect/Men-in-the-Middle angriffe (wobei letzteres
natürlich am schlimmsten von allen ist). oder weiß jemand mehr?

ich hab einen ZyXEL Prestige 600 Router.


Geschrieben von HazardEvil am 30.06.2005 um 23:15:

 

Zumindest bei dieser Nachricht würde ich mir keine Sorgen. Für einen Angriff braucht es mehr als nur eine ICMP-Nachricht (das ganze müßte dann ja in sehr kurzes Zeit sein).

1. IP: 213.150.176.1 http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&sear
chtext=213.150.176.1&submit.x=15&submit.y=9&submit=Search

2. ICMP (type:11, code:0)
Typ Typname Code Bedeutung
11 Time Exceeded 0 TTL Exceeded


Geschrieben von Black Star am 30.06.2005 um 23:21:

 

Das edonkey-protokoll ist ziemlich agressiv und provoziert eine menge solcher ICMP-pakete.
Ich wuerd mir nicht allzu grosse Sorgen machen, allerdings kann ich dich auch nicht 100% beruhigen.
Aber ICMP sollte harmlos sein, es sei denn dein Router ist dafuer anfaellig.

Ist es denn immer die gleiche IP, ist das vielleicht der Server auf den du immer connectest?


Geschrieben von deklarmart am 02.07.2005 um 19:51:

 

ne, es ist nicht immer die gleiche IP. es kommen 4-5 meldungen von einer IP,
und ab und zu dann auch mal andere.

ich dachte evt nur, dass das ICMP protokoll evt einen bug hat, der so aktuell ist,
das die firmware den noch nicht kennt. aber wenn ihr von solchen sachen noch
nichts gehört hab, bin ich da etwas beruhigter Augenzwinkern

danke soweit.


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH