Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Обнаружена уязвимость скрытого канала в ICMP-пакете , * Smart Sec. v5

RSS
 
Tumanbl4
Tumanbl4
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 26.06.2013
Размещено 26.06.2013 11:27:10
День добрый!
Здесь нашлось 2 аналогичных темы, но обе закрыты, поэтому будет третья ))
В обоих темах решением проблемы было устранение источника пакетов, как мне показалось - безобидных, хотя похоже они действительно так отсылают какую-то техническую инфу производителям оборудования/дров.
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю. Хотя видимо что-то таки пихает, т.к. дефолтный размер пакета (он же - минимальный, который в ней можно установить) - 56 байт, а у классического пинг.ехе - 32 байта (если в пинг.ехе выставить те же 56 байт и запретить фрагментацию - Нод на это не реагирует, значит реагирует именно на содержимое пакета)

Вот хотелось бы разобраться почему Нод так реагирует на некоторые (видимо нестандартные) пакеты. И что с этим делать. Т.к. устранение источника пакетов не всегда подходит в качестве решения, отключать контроль за icmp тоже не хотелось бы, а возможности настроить правила/исключения для icmp я не нашел.

Ответы

Пред. 1 2
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 26.06.2013 23:53:10
сбросьте свою WS_Ping. завтра гляну на нее.
Правильно заданный вопрос - это уже половина ответа
 
Tumanbl4
Tumanbl4
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 26.06.2013
Размещено 27.06.2013 00:40:22
в общем надоело гадать - поставил сниффер...
как я и думал - самый обычный исмп-пакет, только в его теле "для веса" классический пинг.ехе пишет просто алфавит (abcdef....), а WS_Ping пишет незамысловатое "WhatsUp - A Network Monitoring Tool's Ping Data WhatsUp" (поэтому и мин. 56 байт), а Нод ес-сно думает, что это Юстас Алексу секреты Родины передает... создатели проги хотели как лучше пошутить, а получилось как всегда

ЗЫ: программку прикрепил, если вдруг кто еще захочет поэкспериментировать... (старая добрая ... for Windows 95/NT от 2000 года )))
 
Пред. 1 2
Читают тему