Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Обнаружена уязвимость скрытого канала в ICMP-пакете , * Smart Sec. v5

RSS
 
Tumanbl4
Tumanbl4
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 26.06.2013
Размещено 26.06.2013 11:27:10
День добрый!
Здесь нашлось 2 аналогичных темы, но обе закрыты, поэтому будет третья ))
В обоих темах решением проблемы было устранение источника пакетов, как мне показалось - безобидных, хотя похоже они действительно так отсылают какую-то техническую инфу производителям оборудования/дров.
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю. Хотя видимо что-то таки пихает, т.к. дефолтный размер пакета (он же - минимальный, который в ней можно установить) - 56 байт, а у классического пинг.ехе - 32 байта (если в пинг.ехе выставить те же 56 байт и запретить фрагментацию - Нод на это не реагирует, значит реагирует именно на содержимое пакета)

Вот хотелось бы разобраться почему Нод так реагирует на некоторые (видимо нестандартные) пакеты. И что с этим делать. Т.к. устранение источника пакетов не всегда подходит в качестве решения, отключать контроль за icmp тоже не хотелось бы, а возможности настроить правила/исключения для icmp я не нашел.

Ответы

Пред. 1 2
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 26.06.2013 23:53:10
сбросьте свою WS_Ping. завтра гляну на нее.
Правильно заданный вопрос - это уже половина ответа
 
Tumanbl4
Tumanbl4
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 26.06.2013
Размещено 27.06.2013 00:40:22
в общем надоело гадать - поставил сниффер...
как я и думал - самый обычный исмп-пакет, только в его теле "для веса" классический пинг.ехе пишет просто алфавит (abcdef....), а WS_Ping пишет незамысловатое "WhatsUp - A Network Monitoring Tool's Ping Data WhatsUp" (поэтому и мин. 56 байт), а Нод ес-сно думает, что это Юстас Алексу секреты Родины передает... создатели проги хотели как лучше пошутить, а получилось как всегда

ЗЫ: программку прикрепил, если вдруг кто еще захочет поэкспериментировать... (старая добрая ... for Windows 95/NT от 2000 года )))
 
Пред. 1 2
Читают тему