Мой компьютер отправляет пакеты ICMP произвольным адресатам. Я не могу понять причину. Дамп одного из пакетов:
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 3 (Port unreachable)
Checksum: 0x811b [correct]
Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 131
Identification: 0x0631 (1585)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 111
Protocol: UDP (17)
Header checksum: 0xc19b [correct]
[Good: True]
[Bad: False]
Source: 80.167.113.76 (80.167.113.76)
Destination: 192.168.1.2 (192.168.1.2)
User Datagram Protocol, Src Port: 61846 (61846), Dst Port: 25660 (25660)
Source port: 61846 (61846)
Destination port: 25660 (25660)
Length: 111
Checksum: 0x4b45 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Data (103 bytes)
Data: 64313a6164323a696432303abe916abba14b8cb8a7167ce0...
Что подразумевается под этими произвольными пакетами ICMP? Боюсь руткита. Пожалуйста, помогите.
операционная система: windows 7 ultimate
Это нормально и само по себе не должно быть поводом для беспокойства. Произошло то, что компьютер с IP-адресом 80.167.113.76 отправил UDP-пакет на ваш компьютер на порт 25660. На вашем компьютере ничего не работает, ожидая пакетов UDP в этом порту, затем ваш компьютер отправляет этот пакет ICMP обратно на источник сообщает, что на данном порту ничего не было достигнуто (ICMP Type = 3 Code = 3 → Port unreachable). Пакет ICMP содержит копию заголовков первоначально отправленного пакета (в обратном направлении).
Если вы получаете эту информацию из анализатора пакетов (выглядит как wirehark?), То поищите входящий UDP-пакет с этого IP-адреса до пакета, который вы только что скопировали в этом вопросе.
Конечно, вы используете интернет-провайдера, который динамически назначает IP-адреса пользователям. Вероятно, ваш текущий IP-адрес использовался кем-то, кто запускал какое-то приложение P2P, и ваш IP-адрес плюс эта комбинация портов была кэширована в чьем-то приложении, а затем тот попытался подключиться обратно к исходному пользователю, который использовал этот IP-адрес.
На самом деле, не о чем беспокоиться. Но если вас это беспокоит, вы можете установить брандмауэр с отслеживанием состояния, который просто отбрасывает пакеты для не отслеживаемых сеансов. Вместо отправки сообщения «Порт недоступен» источнику брандмауэр просто отбрасывает исходный пакет, поскольку его нет в его внутренней таблице соединений.
Такой инструмент, как TCPView, должен позволить вам увидеть, какой процесс создает эти пакеты. Это должно дать вам лучшее представление об их предназначении.
ICMP не имеет состояния (без сеанса), поэтому сложно отслеживать процесс, создающий запросы, с помощью общих сетевых инструментов для Windows.
Используйте такой инструмент, как listdlls от sysinternals. Затем вы можете увидеть, какой процесс загрузил icmp.dll:
C:\Documents and Settings\user>listdlls -d icmp ListDLLs v3.1 - List loaded DLLs Copyright (C) 1997-2011 Mark Russinovich Sysinternals - www.sysinternals.com ---------------------------------------------------------------- Belkinwcui.exe pid: 2484 Command line: "C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe" Base Size Path 0x74290000 0x4000 ICMP.DLL
Я думаю, вы получаете ICMP Port unreachable для UDP 80.167.113.76 на порту 25660. Это означает, что приложение на вашем компьютере пытается подключиться к 80.167.113.76:25660 по протоколу UDP, и удаленная служба не прослушивает этот порт, или фильтруется.
Возможно, вы используете приложение P2P, которое пытается подключиться к некоторым клиентам, находящимся за брандмауэром.