[ Закрыто ] Обнаружена уязвимость скрытого канала в ICMP-пакете , * Smart Sec. v5

День добрый!
Здесь нашлось 2 аналогичных темы, но обе закрыты, поэтому будет третья ))
В обоих темах решением проблемы было устранение источника пакетов, как мне показалось - безобидных, хотя похоже они действительно так отсылают какую-то техническую инфу производителям оборудования/дров.
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю. Хотя видимо что-то таки пихает, т.к. дефолтный размер пакета (он же - минимальный, который в ней можно установить) - 56 байт, а у классического пинг.ехе - 32 байта (если в пинг.ехе выставить те же 56 байт и запретить фрагментацию - Нод на это не реагирует, значит реагирует именно на содержимое пакета)

Вот хотелось бы разобраться почему Нод так реагирует на некоторые (видимо нестандартные) пакеты. И что с этим делать. Т.к. устранение источника пакетов не всегда подходит в качестве решения, отключать контроль за icmp тоже не хотелось бы, а возможности настроить правила/исключения для icmp я не нашел.

добавляете IP адреса на которые происходит обращение программы в список исключенных из проверки и все дела. при условии что вы доверяете этой программе.

так это сетевая утилитка-сканер, адреса могут быть какие угодно, тут нужно правило с привязкой к программе

ознакомьтесь с этой темой - http://forum.esetnod32.ru/forum9/topic5130/

тема хорошая, нашел для себя некоторые интересные моменты, но по данной проблеме там тоже ничего (только в одном месте уже как самая-самая крайняя мера упомянуто "средство", про которое я писал в начале - отключение контроля за icmp)
это средство контроля - одно из глобальных правил, стоящее выше индивидуальных настроек и для конкретной программы похоже ничего не сделаешь...
и так и остается загадкой - за что же Нод ее пинги блочит...

просто некоторые наблюдения (это скорее разработчикам, имеет ли смысл это куда-то им скинуть?), раздел Служебные программы:
- журнал файрвола в 5-й версии (по отношении к 4-й) косячит - при включении полной ("диагностической") детализации она в журнале похоже остается на менее полном уровне - только сообщения о тех самых icmp (а в 4й версии там писался каждый сетевой чих)
- список сетевых подключений не показал тот самый WS_Ping не только в режиме пингования, но и в режиме опроса имен (udp-137, отображение ЮДП, ожидающих и внутренних соединений включено), другие более постоянные ЮДП-соединения он видит - может не хочет показывать короткоживущие запросы?..
- мониторинг сети и ФС - показывают красивые, но совершенно непонятные графики, точнее непонятное там - масштаб шкалы активности, который сильно скачет в зависимости от выбранного "шага"

если уверены в этой программе пробуйте исключить ее из фильтрации.

о невозможности этого, относительно фильтрации пакетов, я написал выше, если я чего-то не понял в настройках - подскажите как?

да, согласен, здесь можно отключить только фильтрацию http, pop3

пункт 9 полностью относится к вашей проблеме

в пункте 9 нет ничего по моей проблеме
там говорится о внешних атаках, у меня же идет реакция на мои собственные пакеты (на какую-то лишнюю, но явно безобидную инфу внутри)