黑色海岸线论坛 - Powered by Discuz! Board

标题: 求助!关于高速发送ICMP数据包的问题 [打印本页]

作者: tyfcf 时间: 2004-12-13 21:57 标题: 求助!关于高速发送ICMP数据包的问题

[这个贴子最后由tyfcf在 2004/12/14 09:35pm 第 1 次编辑]

机子装的是2000SERVER＋ＳＰ４，关了文件和打印共享．通过NETSTAT -AN 查看发现机子的6000端口向几个固定的IP的所有端口发送数据包其中有两个IP是我们公司的客户.但公司的应用程序的端口是6000，但不是发送数据的.
先用最新版(17.04)的瑞星杀毒,但查不到.用瑞星的防火墙，发现防火墙的日志里记录机子的０端口向这几个固定ＩＰ的０端口发送ＩＣＭＰ包，而且速度非常快．　
　后用在DOS查毒也查不到．
用木马克星工也不行~~

搞得公司的服务程序响应相当的慢!!!
　　请问下一步应该怎么解决？谢谢！！！！！

作者: skyxhc 时间: 2004-12-14 08:37 标题: 求助!关于高速发送ICMP数据包的问题

你先确定一下这是什么程序发出的
我记得有个fport程序可以实现这一功能
在这有下
http://soft.ddvip.net/SoftView/SoftView_2677.html

作者: skyxhc 时间: 2004-12-14 08:40 标题: 求助!关于高速发送ICMP数据包的问题

然后再根据程序再决定要怎么做
要是可凝程序就结果了他try try

作者: 刺客 时间: 2004-12-14 09:30 标题: 求助!关于高速发送ICMP数据包的问题

通过NETSTAT -AN 查看发现机子的6000端口向几个固定的IP的所有端口发送数据包其中有两个IP是我们公司的客户.但公司的应用程序的端口不是6000.

意思就是这个样的？
Proto  Local Address       Foreign Address
TCP 196.168.0.0:6000    *.*.*.*:0
TCP 196.168.0.0:6000    *.*.*.*:1
TCP 196.168.0.0:6000    *.*.*.*:2
TCP 196.168.0.0:6000    *.*.*.*:3
.........................
TCP 196.168.0.0:6000    *.*.*.*:*
就想skyxhc说的，用fport.看一下~（其实还有个mport，效果是一样~不过很多人都说比fport强）

作者: skyxhc 时间: 2004-12-14 09:36 标题: 求助!关于高速发送ICMP数据包的问题

楼上的提供个下载地址

作者: 刺客 时间: 2004-12-14 09:44 标题: 求助!关于高速发送ICMP数据包的问题

发现防火墙的日志里记录机子的０端口向这几个固定ＩＰ的０端口发送ＩＣＭＰ包，而且速度非常快．

防火墙不是有设置不发送ICMP的么~ 　

作者: tyfcf 时间: 2004-12-14 21:35 标题: 求助!关于高速发送ICMP数据包的问题

我利用FPORT看过啦,是我们公司的应用程序,但是我们公司这个6000端口是不对外IP发送数据的.已经利用防火墙禁止发送ＩＣＭＰ包，但还照样发，虽然发不出去，但影响了客户端程序的请求速度，以前只要１、2秒就响应的，现在要等4、5分钟！
在这种现象之前就发生过机器重启，5555，估计是成了别人的肉鸡啦。但杀不出木马来，也在注册表看过了，没有自启动的程序，也没有隐藏用户。现在不知道怎么办才好呀。
请帮助我，下一步怎么做！！！谢谢。

作者: 飛鳥 时间: 2004-12-14 23:48 标题: 求助!关于高速发送ICMP数据包的问题

ICMP：因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，如：PING
ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址。
我觉的你提问的这个问题跟你们公司的情况有误
基于ICMP的攻击一般都是攻击者伪造的还有的就是ICMP碎片消耗系统资源
你们现在不是受到攻击也跟你们不沾边
再又就是ICMP木马但是不会开端口
难道你们的6000端口程序被捆绑了么~

作者: TYFCF 时间: 2004-12-15 21:03 标题: 求助!关于高速发送ICMP数据包的问题

公司的服务程序的６０００端口是只接收数据,但不发送.但是通过防火墙显示是发送ＩＣＭＰ的，也就是从内部发送出去的！又加入机器无故重启，觉得被人入侵的机会很大，是不是有可能有人有ＮＣ之类的程序捆绑端口，把６０００端口的数据转发～而且发送几个机器的ＩＰ也是固定的．
　　但应该怎么解除这种捆绑呢？如不是被人捆绑了，那我应该怎么做呢？

作者: tyfcf 时间: 2004-12-16 09:43 标题: 求助!关于高速发送ICMP数据包的问题

别沉呀,求助,谢谢

作者: tyfcf 时间: 2004-12-16 14:20 标题: 求助!关于高速发送ICMP数据包的问题

别沉呀,求助,谢谢

作者: 飛鳥 时间: 2004-12-16 18:33 标题: 求助!关于高速发送ICMP数据包的问题

我还是觉的怪
在路由里设置了屏蔽了ICMP进/出
就让ICMP见鬼去了
怎么会有这样的事呢？

作者: tyfcf 时间: 2004-12-16 22:15 标题: 求助!关于高速发送ICMP数据包的问题

怎么屏蔽ICMP呀,难道不用TCP协议??在2000SERVER"路由和远程访问"设置?
如果是利用路由器来屏蔽ICMP包的话没有用呀,虽然数据包出不去机器还是照样发呀,依旧会影响至客户端来访问我们的应用程序!! 谢谢啦,请详细说下偶该如何做!!如何能停止ICMP就好啦!

作者: 飛鳥 时间: 2004-12-17 10:24 标题: 求助!关于高速发送ICMP数据包的问题

http://www.pconline.com.cn/pcedu/soft/lan/jywrm/10306/179145_1.html
我回去在看看ICMP隧道技术，看它是怎么回事~
你们哪个是什么程序，开个端口好玩？

作者: tyfcf 时间: 2004-12-17 13:14 标题: 求助!关于高速发送ICMP数据包的问题

自己公司开发的程序，是6000端口，用来接收数据的。
谢谢飞鸟大哥，多谢

作者: 飛鳥 时间: 2004-12-17 18:52 标题: 求助!关于高速发送ICMP数据包的问题

隧道（Tunnel）是一种封装,即把一种协议的报文封装在另一种协议的报文中进行传输.被封装的数据包在INTERNET上传递时所经过的逻辑路径称为隧道.
隧道技术是指包括数据封装.传输和解包的全过程.
ICMP协议隧道技术是通过ICMP协议实现(即互联网控制报文协议),是IP协议的一个主要部分,被嵌入在IP包中传输.因此,ICMP跟端口没有任何关系
WIN系统下用的比较多的是ICMPATTACH.DLL这个后门,看名字就知道是利用ICMP的了...
以DLL形式注入到任意系统进程,不开端口,本身没有进程.可怕吧
不过也不是完美的,这个后门在重启后会失效,除非用NTSERVICE之类的工具将它注册成系统服务.
对付这种ICMP隧道,根本的办法是封锁ICMP所有类型的通讯.只要封锁了这些ICMP报文类型,利用ICMP协议隧道就让它见鬼去了.
当然,封锁了这些,你也就用不了如PING.TRACERT这些命令探测网络了.看你喜欢哦
你前面说已经在远程和路由里设置,那么用一下PING命令测试就知道是不是成功了
另外,软件防火墙很难觉察的到,用硬件的比较好.毕竟还是安全重要.
另外,如果比较懂协议的,可以用SNIFFER抓包分析.
而且,这种技术大多用与攻击,从你所所的情况看来并不是这么回事呀.

作者: fooler 时间: 2004-12-21 09:58 标题: 求助!关于高速发送ICMP数据包的问题

既然你了端口，它仍然发包，可见是有一个程序在你的机器里运行，为什么不从系统着手，而要去去从网络着手呢？了解系统进程，查找可疑程序，他可能替换掉你的服务。一点个人看发，请大家指教。

作者: tyfcf 时间: 2004-12-21 16:36 标题: 求助!关于高速发送ICMP数据包的问题

下面引用由tyfcf在 2004/12/14 01:35pm 发表的内容：
我利用FPORT看过啦,是我们公司的应用程序,但是我们公司这个6000端口是不对外IP发送数据的.已经利用防火墙禁止发送ＩＣＭＰ包，但还照样发，虽然发不出去，但影响了客户端程序的请求速度，以前只要１、2秒就响应　...

这就是发数据的程序,但…………

作者: tyfcf 时间: 2004-12-21 16:43 标题: 求助!关于高速发送ICMP数据包的问题

有没有可能被人用某种软件绑定端口进行反向连接的情况？对于这个情况，我应该怎么进行检测。在GOOGLE都查完了，就是没有检测的办法

作者: tyfcf 时间: 2004-12-22 16:37 标题: 求助!关于高速发送ICMP数据包的问题

别沉,顶

作者: 飛鳥 时间: 2004-12-22 20:55 标题: 求助!关于高速发送ICMP数据包的问题

还没解决吗？你们的网管不是随便在一个网吧找来的吧~
如果真被入侵了，入侵者完全可以用自己的后门工具代替
而不会用捆绑这种差劲的技术因为大多程序捆绑后体积变大
就象fooler说的，我们应该先从系统下手
你要做的就是先断开网络
仔细检查一下系统

作者: tyfcf 时间: 2004-12-22 22:52 标题: 求助!关于高速发送ICMP数据包的问题

汗,我是网管!!
发数据的程序是找到啦.但就是我们公司自己写的程序呀.检查系统?是检查启动文件,服务,注册表,和在DOS底下杀毒都做过啦,但没有发现什么.
请问还要检查什么,请指教.
我是菜鸟网管,特向你们求助,帮我提升自己的功力,谢谢

作者: 飛鳥 时间: 2004-12-23 02:31 标题: 求助!关于高速发送ICMP数据包的问题

我也菜也~~
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
本地策略--审核策略,把一些策略开启,有用的哦
检查用户列表,主要是否被克隆ADMIN
去system32检查一下文件,按时间显示,让那些XXX文件排在前面特别注意是DLL
进程就自己搞吧,因为DLL是注入方式的,特难缠
要不就停一下你们那个程序,看看情况在说

作者: tyfcf 时间: 2004-12-23 08:39 标题: 求助!关于高速发送ICMP数据包的问题

下面引用由飛鳥在 2004/12/22 06:31pm 发表的内容：
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
...

这些我都做啦,要命的是我们的程序停不得,在SYSTEM32里面并没有新的文件或近期被修改过的文件.在注册表里也看过没有隐藏的用户,启动文件也没有什么.但是有点奇怪的是任务管理器中竟然停不了任何的进程,老是说句柄无效的话.这是怎么一回事?
以上都做啦,但还是没有发现什么,那还有应该检查那些地方.

作者: 云飞扬 时间: 2004-12-23 21:13 标题: 求助!关于高速发送ICMP数据包的问题

好东西

作者: 飛鳥 时间: 2004-12-24 02:11 标题: 求助!关于高速发送ICMP数据包的问题

那么就用icesword看一下系统
不用fport、mport了
这个强! 最新版1.06吧
在加个knlsc吧`~多个工具交叉使用有好处的(命令行)

作者: tyfcf 时间: 2004-12-24 16:19 标题: 求助!关于高速发送ICMP数据包的问题

OK,等下查完再汇报结果!!!

作者: TYFCF 时间: 2004-12-24 19:27 标题: 求助!关于高速发送ICMP数据包的问题

飞鸟大哥,能不能帮我调整一下权限,让我好发图上去,让你帮忙看下也好呀.
KNLSC查不到那里可以下载的.

作者: copyday 时间: 2004-12-24 21:02 标题: 求助!关于高速发送ICMP数据包的问题

[这个贴子最后由copyday在 2004/12/24 01:14pm 第 1 次编辑]

恩，发个图上来大家都能看清楚点。
如果要是进'带网络连接的安全模式'再看一下呢`？ :32:

作者: tyfcf 时间: 2004-12-27 09:25 标题: 求助!关于高速发送ICMP数据包的问题

还是发呀,55555.
飞鸟大哥给点权限,让我发发图上去吧,谢谢

作者: skyxhc 时间: 2004-12-27 09:31 标题: 求助!关于高速发送ICMP数据包的问题

我认为你应该没有被入侵
但你的情况......却又不知......
找到写这个程序的人来问问
比如功能啊什么的,再系统性的分析一下

作者: tyfcf 时间: 2004-12-27 16:31 标题: 求助!关于高速发送ICMP数据包的问题

问过啦,由于是合作公司,那边的人说是不会发送这么多的数据包出去.
我怀疑被入侵的原因呢,是因为机器无故重启两次.

作者: 飛鳥 时间: 2004-12-27 19:10 标题: 求助!关于高速发送ICMP数据包的问题

如果被入侵了怎么说也会有日志的
比如：某些时间段日志不完整或者整个都给DEL了
icesword难道帮不上忙?
截图你看下固顶文章拉`~

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)