隧道（Tunnel）是一种封装,即把一种协议的报文封装在另一种协议的报文中进行传输.被封装的数据包在INTERNET上传递时所经过的逻辑路径称为隧道.
隧道技术是指包括数据封装.传输和解包的全过程.
ICMP协议隧道技术是通过ICMP协议实现(即互联网控制报文协议),是IP协议的 一个主要部分,被嵌入在IP包中传输.因此,ICMP跟端口没有任何关系
WIN系统下用的比较多的是ICMPATTACH.DLL这个后门,看名字就知道是利用ICMP的了...
以DLL形式注入到任意系统进程,不开端口,本身没有进程.可怕吧
不过也不是完美的,这个后门在重启后会失效,除非用NTSERVICE之类的工具将它注册成系统服务.
对付这种ICMP隧道,根本的办法是封锁ICMP所有类型的通讯.只要封锁了这些ICMP报文类型,利用ICMP协议隧道就让它见鬼去了.
当然,封锁了这些,你也就用不了如PING.TRACERT这些命令探测网络了.看你喜欢哦
你前面说已经在远程和路由里设置,那么用一下PING命令测试就知道是不是成功了
另外,软件防火墙很难觉察的到,用硬件的比较好.毕竟还是安全重要.
另外,如果比较懂协议的,可以用SNIFFER抓包分析.
而且,这种技术大多用与攻击,从你所所的情况看来并不是这么回事呀.

既然你了端口，它仍然发包，可见是有一个程序在你的机器里运行，为什么不从系统着手，而要去去从网络着手呢？了解系统进程，查找可疑程序，他可能替换掉你的服务。一点个人看发，请大家指教。

下面引用由tyfcf在 2004/12/14 01:35pm 发表的内容：
我利用FPORT看过啦,是我们公司的应用程序,但是我们公司这个6000端口是不对外IP发送数据的.已经利用防火墙禁止发送ＩＣＭＰ包，但还照样发，虽然发不出去，但影响了客户端程序的请求速度，以前只要１、2秒就响应　...

  这就是发数据的程序,但…………

有没有可能被人用某种软件绑定端口进行反向连接的情况？对于这个情况，我应该怎么进行检测。在GOOGLE都查完了，就是没有检测的办法

别沉,顶

还没解决吗？你们的网管不是随便在一个网吧找来的吧~
如果真被入侵了，入侵者完全可以用自己的后门工具代替
而不会用捆绑这种差劲的技术  因为大多程序捆绑后体积变大
就象fooler说的，我们应该先从系统下手
你要做的就是先断开网络
仔细检查一下系统

汗,我是网管!!
发数据的程序是找到啦.但就是我们公司自己写的程序呀.检查系统?是检查启动文件,服务,注册表,和在DOS底下杀毒都做过啦,但没有发现什么.
请问还要检查什么,请指教.
我是菜鸟网管,特向你们求助,帮我提升自己的功力,谢谢

我也菜也~~
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
本地策略--审核策略,把一些策略开启,有用的哦
检查用户列表,主要是否被克隆ADMIN
去system32检查一下文件,按时间显示,让那些XXX文件排在前面 特别注意是DLL
进程就自己搞吧,因为DLL是注入方式的,特难缠
要不就停一下你们那个程序,看看情况在说

下面引用由飛鳥在 2004/12/22 06:31pm 发表的内容：
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
...

这些我都做啦,要命的是我们的程序停不得,在SYSTEM32里面并没有新的文件或近期被修改过的文件.在注册表里也看过没有隐藏的用户,启动文件也没有什么.但是有点奇怪的是任务管理器中竟然停不了任何的进程,老是说句柄无效的话.这是怎么一回事?
以上都做啦,但还是没有发现什么,那还有应该检查那些地方.

好东西

那么就用icesword看一下系统
不用fport、mport了
这个强!  最新版1.06吧
在加个knlsc吧`~多个工具交叉使用有好处的(命令行)

OK,等下查完再汇报结果!!!

飞鸟大哥,能不能帮我调整一下权限,让我好发图上去,让你帮忙看下也好呀.
KNLSC查不到那里可以下载的.

[这个贴子最后由copyday在 2004/12/24 01:14pm 第 1 次编辑]

恩， 发个图上来大家都能看清楚点。
如果要是进'带网络连接的安全模式'再看一下呢`？ :32:

还是发呀,55555.
飞鸟大哥给点权限,让我发发图上去吧,谢谢