Форум esetnod32.ru [тема: Обнаружена атака на переполнение ICMP]

Форум esetnod32.ru [тема: Обнаружена атака на переполнение ICMP] http://forum.esetnod32.ru Новое в теме Обнаружена атака на переполнение ICMP форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 08:46:57 +0300 Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
да я делал последовательно по ссылке в теме пока не дошел до исключения из проверки...
30.11.2012 14:15:41, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57809/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57809/ Fri, 30 Nov 2012 14:15:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
может стоило добавить в исключение из фильтрации протоколов? тогда проверялись бы пакеты по http, pop3 с данного сервера.
28.11.2012 19:00:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57702/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57702/ Wed, 28 Nov 2012 19:00:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
отключилось только внесением IP в исключения для IDS
28.11.2012 17:41:28, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57691/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57691/ Wed, 28 Nov 2012 17:41:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
возможно с какой то программой идет обмен,

====quote====
вот с ДК лог... а чем вы его просматриваете?
=============
просматриваем тем же uVS, тоько в режиме загрузить образ.

первая опция на рисунке
Пользователь добавил изображение

28.11.2012 12:37:46, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57668/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57668/ Wed, 28 Nov 2012 12:37:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
что удивительно, на других машинах с таким же eset нет подозрений на атаку...
28.11.2012 12:28:47, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57667/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57667/ Wed, 28 Nov 2012 12:28:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, DC чист, пробуйте добавить в исключение айпишник DC
28.11.2012 11:47:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57662/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57662/ Wed, 28 Nov 2012 11:47:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот с ДК лог... а чем вы его просматриваете?
BSRV01_2012-11-28_10-03-01.7z
28.11.2012 10:42:27, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57657/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57657/ Wed, 28 Nov 2012 10:42:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
можно будет добавить - проверим сначала DC.
27.11.2012 20:10:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57614/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57614/ Tue, 27 Nov 2012 20:10:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
AlexVP пишет:
отключил - не сыпятся предупреждения
=============
Кто сказал отключать?!
В теме http://forum.esetnod32.ru/forum9/topic5130/ сказано, что сначала лучше добавить только данный адрес в исключения.
27.11.2012 20:07:54, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57612/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57612/ Tue, 27 Nov 2012 20:07:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
если адрес источника тот же, как вы пишите - контролер доменов, и пакеты сыпятся подобные на все машины, то следует проверить так же сервер с установленным eset mail security.
сделайте так же с него образ автозапуска.
27.11.2012 20:04:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57611/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57611/ Tue, 27 Nov 2012 20:04:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
пробуйте отключить проверку сообщений по протоколу ICMP
=============

отключил - не сыпятся предупреждения...
только это получается "закрыть глаза, чтобы не видеть проблемы.... "
27.11.2012 16:57:49, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57590/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57590/ Tue, 27 Nov 2012 16:57:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
пробуйте отключить проверку сообщений по протоколу ICMP
26.11.2012 14:27:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57497/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57497/ Mon, 26 Nov 2012 14:27:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот, все сделал... на машине, на которой диагностируется атака...
PC-02_2012-11-26_13-31-04.7z
26.11.2012 13:43:31, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57491/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57491/ Mon, 26 Nov 2012 13:43:31 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
нет, с клиента где идут эти логи
26.11.2012 12:43:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57485/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57485/ Mon, 26 Nov 2012 12:43:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
а это мне сделать на ДК?
26.11.2012 12:36:40, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57484/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57484/ Mon, 26 Nov 2012 12:36:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
такой
http://forum.esetnod32.ru/forum9/topic2687/
26.11.2012 12:33:38, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57483/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57483/ Mon, 26 Nov 2012 12:33:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Если есть сомнения, сделайте логи.
Хотя если адрес известный, то просто добавьте его в исключения. Обычно такое поведение ESET связано с ложным детектом атак, что из-за особенностей протокола ICMP обычное дело.
=============
спасибо за ответ. а какие логи и чем их делать? я опасаюсь, вдруг мой ДК, например, заразился... атаки диагностируются все чаще...
26.11.2012 12:21:40, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57481/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57481/ Mon, 26 Nov 2012 12:21:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если есть сомнения, сделайте логи.
Хотя если адрес известный, то просто добавьте его в исключения. Обычно такое поведение ESET связано с ложным детектом атак, что из-за особенностей протокола ICMP обычное дело.
23.11.2012 20:19:43, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57360/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57360/ Fri, 23 Nov 2012 20:19:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
ознакомился ... заблокировать то можно, интересует что это за атака, может заразился чем, а нод не видит... а может и все ок и ДК и должен слать ICMP запросы... за этим и пришел на форум...
23.11.2012 16:57:27, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57344/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57344/ Fri, 23 Nov 2012 16:57:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ознакомьтесь с темой - http://forum.esetnod32.ru/forum9/topic5130/
21.11.2012 17:55:50, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57172/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57172/ Wed, 21 Nov 2012 17:55:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена атака на переполнение ICMP Обнаружена атака на переполнение ICMP в форуме Обнаружение вредоносного кода и ложные срабатывания.
последнее время Eset EndPointSecurity 5.0.2126.3 с периодичностью 40сек, а иногда и чаще, шлет сообщения :

Обнаружена атака на переполнение ICMP
Удаленный адрес
192.168.140.2

незадолго до этого были другие сообщения, но значительно реже...
Обнаружена флад атака ICMP
и тот же адрес

удаленный адрес - это адрес домен контроллера сети, на нем установлен Eset Mail security 4.3.10025.0...
что то это мне не нравится совсем...
базы обновлены, все включено. что делать?
21.11.2012 17:52:59, AlexVP.]]> http://forum.esetnod32.ru/messages/forum6/topic7733/message57170/ http://forum.esetnod32.ru/messages/forum6/topic7733/message57170/ Wed, 21 Nov 2012 17:52:59 +0400 Обнаружение вредоносного кода и ложные срабатывания