http://forum.esetnod32.ru Новое в теме Обнаружена уязвимость скрытого канала в ICMP-пакете форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 20 Apr 2026 01:15:12 +0300 Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
в общем надоело гадать - поставил сниффер...
как я и думал - самый обычный исмп-пакет, только в его теле "для веса" классический пинг.ехе пишет просто алфавит (abcdef....), а WS_Ping пишет незамысловатое "WhatsUp - A Network Monitoring Tool's Ping Data WhatsUp" (поэтому и мин. 56 байт), а Нод ес-сно думает, что это Юстас Алексу секреты Родины передает... создатели проги хотели как лучше пошутить, а получилось как всегда

ЗЫ: программку прикрепил, если вдруг кто еще захочет поэкспериментировать... (старая добрая ... for Windows 95/NT от 2000 года )))
WS_PING.rar
27.06.2013 00:40:22, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69282/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69282/ Thu, 27 Jun 2013 00:40:22 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
сбросьте свою WS_Ping. завтра гляну на нее.
26.06.2013 23:53:10, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69281/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69281/ Wed, 26 Jun 2013 23:53:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
в пункте 9 нет ничего по моей проблеме
там говорится о внешних атаках, у меня же идет реакция на мои собственные пакеты (на какую-то лишнюю, но явно безобидную инфу внутри)
26.06.2013 23:50:10, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69280/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69280/ Wed, 26 Jun 2013 23:50:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
но по данной проблеме там тоже ничего
=============
пункт 9 полностью относится к вашей проблеме
26.06.2013 23:17:35, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69276/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69276/ Wed, 26 Jun 2013 23:17:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, согласен, здесь можно отключить только фильтрацию http, pop3
26.06.2013 17:13:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69271/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69271/ Wed, 26 Jun 2013 17:13:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
о невозможности этого, относительно фильтрации пакетов, я написал выше, если я чего-то не понял в настройках - подскажите как?
26.06.2013 16:50:04, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69267/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69267/ Wed, 26 Jun 2013 16:50:04 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Tumanbl4 пишет:
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю.
=============
если уверены в этой программе пробуйте исключить ее из фильтрации.
26.06.2013 16:33:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69263/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69263/ Wed, 26 Jun 2013 16:33:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
тема хорошая, нашел для себя некоторые интересные моменты, но по данной проблеме там тоже ничего (только в одном месте уже как самая-самая крайняя мера упомянуто "средство", про которое я писал в начале - отключение контроля за icmp)
это средство контроля - одно из глобальных правил, стоящее выше индивидуальных настроек и для конкретной программы похоже ничего не сделаешь...
и так и остается загадкой - за что же Нод ее пинги блочит...

просто некоторые наблюдения (это скорее разработчикам, имеет ли смысл это куда-то им скинуть?), раздел Служебные программы:
- журнал файрвола в 5-й версии (по отношении к 4-й) косячит - при включении полной ("диагностической") детализации она в журнале похоже остается на менее полном уровне - только сообщения о тех самых icmp (а в 4й версии там писался каждый сетевой чих)
- список сетевых подключений не показал тот самый WS_Ping не только в режиме пингования, но и в режиме опроса имен (udp-137, отображение ЮДП, ожидающих и внутренних соединений включено), другие более постоянные ЮДП-соединения он видит - может не хочет показывать короткоживущие запросы?..
- мониторинг сети и ФС - показывают красивые, но совершенно непонятные графики, точнее непонятное там - масштаб шкалы активности, который сильно скачет в зависимости от выбранного "шага"
26.06.2013 15:12:44, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69261/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69261/ Wed, 26 Jun 2013 15:12:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
ознакомьтесь с этой темой - http://forum.esetnod32.ru/forum9/topic5130/
26.06.2013 11:42:29, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69255/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69255/ Wed, 26 Jun 2013 11:42:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
так это сетевая утилитка-сканер, адреса могут быть какие угодно, тут нужно правило с привязкой к программе
26.06.2013 11:37:51, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69254/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69254/ Wed, 26 Jun 2013 11:37:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Tumanbl4 пишет:
а возможности настроить правила/исключения для icmp я не нашел
=============
добавляете IP адреса на которые происходит обращение программы в список исключенных из проверки и все дела. при условии что вы доверяете этой программе.
26.06.2013 11:31:26, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69252/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69252/ Wed, 26 Jun 2013 11:31:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Обнаружена уязвимость скрытого канала в ICMP-пакете * Smart Sec. v5 в форуме Обнаружение вредоносного кода и ложные срабатывания.
День добрый!
Здесь нашлось 2 аналогичных темы, но обе закрыты, поэтому будет третья ))
В обоих темах решением проблемы было устранение источника пакетов, как мне показалось - безобидных, хотя похоже они действительно так отсылают какую-то техническую инфу производителям оборудования/дров.
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю. Хотя видимо что-то таки пихает, т.к. дефолтный размер пакета (он же - минимальный, который в ней можно установить) - 56 байт, а у классического пинг.ехе - 32 байта (если в пинг.ехе выставить те же 56 байт и запретить фрагментацию - Нод на это не реагирует, значит реагирует именно на содержимое пакета)

Вот хотелось бы разобраться почему Нод так реагирует на некоторые (видимо нестандартные) пакеты. И что с этим делать. Т.к. устранение источника пакетов не всегда подходит в качестве решения, отключать контроль за icmp тоже не хотелось бы, а возможности настроить правила/исключения для icmp я не нашел.
26.06.2013 11:27:10, Tumanbl4.]]> http://forum.esetnod32.ru/messages/forum6/topic9681/message69251/ http://forum.esetnod32.ru/messages/forum6/topic9681/message69251/ Wed, 26 Jun 2013 11:27:10 +0400 Обнаружение вредоносного кода и ложные срабатывания