Hallo,
ich bekomme die letzten Tage immer zwei Emails von meinem Router im Abstand von ca. fünf Minuten. Die Emails haben folgenden Inhalt:
05-10-2006 21:39:04 - ICMP Flood - Source:192.168.0.10,0,LAN - Destination:213.52.227.148,0,WAN
Der Betreff ist immer ein Sicherheitsalarm.
Was hat das zu bedeuten??
Was kann ich dagegen tun??
Axl
Hallo,
ich bekomme die letzten Tage immer zwei Emails von meinem
Router im Abstand von ca. fünf Minuten. Die Emails haben
folgenden Inhalt:05-10-2006 21:39:04 - ICMP Flood - Source:192.168.0.10,0,LAN -
Destination:213.52.227.148,0,WANDer Betreff ist immer ein Sicherheitsalarm.
Was hat das zu bedeuten??
Was kann ich dagegen tun??
Das bedeutet, dass der Rechner, der unter 192.168.0.10 firmiert auf Teufel kom raus ICMP (vermutlich Ping?) Pakete in Richtung 213.52.227.148 abschickt. Mehr, als der Router verkraften kann bzw. im flood threshold vorgesehen ist.
Hast Du Zugang zu dem Rechner? Was läuft da denn so? Ist das Absicht, ein DAU am Werk oder eine Schadsoftware, die ein DOS gegen das Ziel (scheinbar irgend ein Server bei Globix) versucht?
Gruß
Fritze
Das bedeutet, dass der Rechner, der unter 192.168.0.10
firmiert auf Teufel kom raus ICMP (vermutlich Ping?)
IMHO eher unwahrscheinlich, ICMP ist weitaus mehr als „Echo-Request“ senden und beantworten, es dient primär zur Informations- und Fehlerübermittlung.
Schau doch mal in die Router-Logs suche nach den dort gemeldeten ICMP Pakettypen, die dort so häufig ankommen.
Dann kannst Du hier nachlesen
http://de.wikipedia.org/wiki/ICMP
und auf die Fehlerursache schliessen.
Servus,
Hast Du Zugang zu dem Rechner? Was läuft da denn so? Ist das
Absicht, ein DAU am Werk oder eine Schadsoftware, die ein DOS
gegen das Ziel (scheinbar irgend ein Server bei Globix)
versucht?
oder es ist ein Spiel, das in der Onlineliste der verfügbaren Server die Pingzeiten der anderen Gamehosts ermitteln will. Es muss nicht immer gleich alles böse sein.
Ich kenne da jemanden mit einem SMC-Router, der mit einem bestimmten Spiel jedes Mal seinen Router abschiesst.
Gruss
A.J.
Das bedeutet, dass der Rechner, der unter 192.168.0.10
firmiert auf Teufel kom raus ICMP (vermutlich Ping?)IMHO eher unwahrscheinlich, ICMP ist weitaus mehr als
„Echo-Request“ senden und beantworten, es dient primär zur
Informations- und Fehlerübermittlung.
Das ist mir bekannt. Ein flooding mit ICMP „Time Exceeded“ oder „Parameter Problem“ wäre doch arg ungewöhnlich. Zumal die Quelle wohl nicht der Router ist? Dazu sollte sich der Fragesteller nochmal äußern.
Schau doch mal in die Router-Logs suche nach den dort
gemeldeten ICMP Pakettypen, die dort so häufig ankommen.
Das ist in der Tat eine gute Vorgehensweise. Wenn der Router ein vernünftiges Logging hat und der Nutzer weiß, wie man darauf zugreift 
Gruß
Fritze
Hallo,
oder es ist ein Spiel, das in der Onlineliste der verfügbaren
Server die Pingzeiten der anderen Gamehosts ermitteln will.
Erstens habe ich ja geschrieben „Absicht oder DAU oder böse“ und zweitens würde ich es als DAU Problem einstufen, wenn eine Software bie korrektem Gebrauch zu ping floods führt. Und zwar auf Seiten der Programmierer. In der Regel nutzen solche Dienste aber eigene „Ping“ Pakete auf UDP Basis (GameSpy z.B.) und nicht ICMP.
Gruß
Fritze
Das ist mir bekannt. Ein flooding mit ICMP „Time Exceeded“
oder „Parameter Problem“ wäre doch arg ungewöhnlich. Zumal die
Quelle wohl nicht der Router ist? Dazu sollte sich der
Fragesteller nochmal äußern.
Hab nochmal den Wiki-Artikel gelesen:
"
Es wird von jedem Router und PC erwartet, ICM-Protokoll sprechen zu können. Die meisten ICMP-Pakete enthalten Diagnose-Informationen, sie werden vom Router zur Quelle zurückgeschickt, wenn der Router Pakete verwirft
"
Nach dem Text muss das wohl nicht so sein.
Ich tippte spontan und blinb ratend vielleicht auf so was:
3 Destination Unreachable
1 Host Unreachable
3 Port Unreachable
4 Fragmentation Needed, DF Set
MTU Problem?
Oder doch einfach eine falsche TCP/IP-Einstellung? Naja, raten bringt´s ja nicht wirklich… 
Das ist in der Tat eine gute Vorgehensweise. Wenn der Router
ein vernünftiges Logging hat und der Nutzer weiß, wie man
darauf zugreift
Also wenn das Ding schon Mails verschicken kann wird es sicherlich auch ein Log führen.
Ansonsten: Spam-Blocker…
Hallo,
Hab nochmal den Wiki-Artikel gelesen:
"
Es wird von jedem Router und PC erwartet, ICM-Protokoll
sprechen zu können. Die meisten ICMP-Pakete enthalten
Diagnose-Informationen, sie werden vom Router zur Quelle
zurückgeschickt, wenn der Router Pakete verwirft
"
Nach dem Text muss das wohl nicht so sein.
Fein. Du weisst jetzt also, wozu ICMP Pakete normalerweise gebraucht werden. Das führt aber i.d.R. nicht zu „floods“. Insbesondere war ich der Meinung, die Pakete gingen gerade *nicht* von einem Router aus.
Letzlich ist es mir aber herzlich egal und es lässt sich trefflich streiten. Nur ein Blick in die Logfiles oder ggf. ein tcpdump kann Gewissheit schaffen.
Gruß
Fritze