ICMP-Datenströme in der Netzwerkaufzeichnung
Infos: Siehe auch den folgenden Beitrag als Ergänzung dazu
Bestimme Spam-E-Mails führen trotz aktivierten Sicherheitsmerkmalen zu langer Verzögerung von Outlook
Bestimme Spam-E-Mails führen trotz aktivierten Sicherheitsmerkmalen zu langer Verzögerung von Outlook
Bestimme Spam-E-Mails führen trotz aktivierten Sicherheitsmerkmalen zu langer Verzögerung von Outlook
Hallo,
kann einer die folgenden TCP/IP-Datenströme per ICMP-Protokoll deuten?
Dies ist heute um die Mittagszeit in der Netzwerkaufzeichnung aufgetaucht, während des Abrufs von Spam-Nachrichten.
Alle Index-Abschnitte weisen die folgenden Eigenschaften auf:
• Protokoll: ICMP
• Prozess-ID: unbekannt
• Dienstname: unbekannt
• Ferne MAC-Adresse: 40-f3-08-18-68-be
Index 13
Fernadresse: 162.19.58.158
E..0Z=@.q..#..+
..:..3...P."....p. .'......P....E..0ZF@.q.....+
..:..3...P."....p. .'......P....E..0ZO@.q.....+
..:..3...P."....p. .'......P....
Index 14
Fernadresse: 162.19.58.157
E..0Z@@.q..!..+
..:..4..........p. .j......P....E..0ZI@.q.....+
..:..4..........p. .j......P....E..0ZR@.q.....+
..:..4..........p. .j......P....
Index 15
Fernadresse: 162.19.58.156
E..0ZC@.q.....+
..:..7....}.....p. .8......P....E..0ZJ@.q.....+
..:..7....}.....p. .8......P....E..0ZS@.q.....+
..:..7....}.....p. .8......P....
Index 16
Fernadresse: 162.19.58.160
E..0ZB@.q.....+
..:..6.....A....p. ........P....E..0ZH@.q.....+
..:..6.....A....p. ........P....E..0ZQ@.q..
..+
..:..6.....A....p. ........P....
Index 17
Fernadresse: 162.19.58.159
E..0ZA@.q.....+
..:..5...\K.....p. .. .....P....E..0ZG@.q.....+
..:..5...\K.....p. .. .....P....E..0ZP@.q.....+
..:..5...\K.....p. .. .....P....
Index 18
Fernadresse: 162.19.58.161
E..0ZD@.q.....+
..:..8...C~.....p. ........P....E..0ZK@.q.....+
..:..8...C~.....p. ........P....E..0ZT@.q.. ..+
..:..8...C~.....p. ........P....
Während dieser Aufzeichnung trat eine ungewöhnlich lange Verzögerung auf, von etwa 30 ... 60 Sekunden, weswegen ich hier gezielt auf diesen Datenströmungsabschnitt fokussiere.
(Im Index davor wurde durch den Dienst "domain" eine Domäne aufgelöst, jedoch ohne weitere Datenströme. Nähere Angaben dann bei Bedarf.)
Vielen Dank für den Versuch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5019727283
Url: https://administrator.de/forum/icmp-datenstroeme-in-der-netzwerkaufzeichnung-5019727283.html
Ausgedruckt am: 25.12.2024 um 18:12 Uhr
22 Kommentare
Neuester Kommentar
Was sollen "TCP-Datenströme per ICMP-Protokoll" sein?
Details wird man mit den Daten nicht beantworten können. ICMP kann alles sein, von Ping zu Port unreachable, zu Network unreachable, zu Administratively prohibited, zu Packet too big...
Das, was wir da sehen, ist leider für jedweden Zweck unbrauchbar, sorry. Wo kommt sowas her?
Wenn, dann müsste man ein ordentliches PCAP haben (z.B. von Wireshark), zumindest aber keine ASCII-Representation sondern HEX, um die ICMP-Codes zu sehen.
PCAP ist aber das bevorzugte Mittel, denn da kannst du in Wireshark die Flows filtern und siehst genau, welches Paket welches andere ausgelöst hat.
Details wird man mit den Daten nicht beantworten können. ICMP kann alles sein, von Ping zu Port unreachable, zu Network unreachable, zu Administratively prohibited, zu Packet too big...
Das, was wir da sehen, ist leider für jedweden Zweck unbrauchbar, sorry. Wo kommt sowas her?
Wenn, dann müsste man ein ordentliches PCAP haben (z.B. von Wireshark), zumindest aber keine ASCII-Representation sondern HEX, um die ICMP-Codes zu sehen.
PCAP ist aber das bevorzugte Mittel, denn da kannst du in Wireshark die Flows filtern und siehst genau, welches Paket welches andere ausgelöst hat.
Hallo,
im ICMP-Protokoll gibt es ein buffer-overflow-error. Erkennbar wird ein Angriff aber nur auf einem detailierteren Level:
Sans "Packet Tueday"
mfg
im ICMP-Protokoll gibt es ein buffer-overflow-error. Erkennbar wird ein Angriff aber nur auf einem detailierteren Level:
Sans "Packet Tueday"
mfg
Zitat von @Fennek11:
im ICMP-Protokoll gibt es ein buffer-overflow-error. Erkennbar wird ein Angriff aber nur auf einem detailierteren Level:
im ICMP-Protokoll gibt es ein buffer-overflow-error. Erkennbar wird ein Angriff aber nur auf einem detailierteren Level:
a) Dieses Problem ist kein Problem im "ICMP-Protokoll" sondern tritt auf, wenn du vor einem FreeBSD-System sitzt, dort mit dem Ping-Befehl aktiv etwas anpingst und die Gegenstelle dir böse Antworten liefert. Das Problem liegt im Programm "ping".
b) Es wird kein Schadcode ausgeführt, ist also realistisch betrachtet kein lohnender Angriff.
Aus den Daten, die der TO liefert, kann man aber nichtmal erkennen, von wo überhaupt die ICMP-Nachricht kam, geschweige denn, wodurch sie ausgelöst wurde oder was drin steht.
Der MAC-Adresse nach zu urteilen steht da keine besonders ausgefeilte Firewall? Die gehört zu "Murata Manufacturing", ein Semiconductor für verschiedene Chips, die dann in allen möglichen (eher preisgünstigen) Geräten verbaut werden.
Die IP 162.19.58.158 liegt bei OVH (nicht ganz unbekannt für Spamversand) und reagiert mit "ICMP administratively prohibited" darauf, wenn man an Ports anklopft, die durch die Firewall auf dem System gefiltert sind.
Die Vermutung liegt nahe, dass aus der Spam-Mail ein Bild nachgeladen werden sollte um zu gucken, ob jemand diese Mails liest. Dazu wurde Kontakt mit einer URL auf dieser IP-Adresse aufgenommen, da war aus irgendeinem Grund aber noch dieser Port gefiltert und so kam es zur "ICMP administratively prohibited"-Nachricht.
Die IP 162.19.58.158 liegt bei OVH (nicht ganz unbekannt für Spamversand) und reagiert mit "ICMP administratively prohibited" darauf, wenn man an Ports anklopft, die durch die Firewall auf dem System gefiltert sind.
Die Vermutung liegt nahe, dass aus der Spam-Mail ein Bild nachgeladen werden sollte um zu gucken, ob jemand diese Mails liest. Dazu wurde Kontakt mit einer URL auf dieser IP-Adresse aufgenommen, da war aus irgendeinem Grund aber noch dieser Port gefiltert und so kam es zur "ICMP administratively prohibited"-Nachricht.
Irgendwie werde ich aus den Ausgaben nicht schlau. Woran erkennt man da üblicherweise, was ausgehender und was eingehender Traffic ist?
Kannst du das erneut provozieren, diesmal aber in eine PCAP-Datei aufzeichnen und das in Wireshark gießen? Oder gleich direkt mit Wireshark aufzeichnen?
Es könnte auch sein, dass die ICMP-Pakete von dir kommen, *WEIL* das System nicht reagiert und der Gegenstelle einer offenen TCP-Verbindungen von dir Nachrichten geschickt werden, dass du gerade nicht mehr mit ihr reden kannst.
Kannst du das erneut provozieren, diesmal aber in eine PCAP-Datei aufzeichnen und das in Wireshark gießen? Oder gleich direkt mit Wireshark aufzeichnen?
Es könnte auch sein, dass die ICMP-Pakete von dir kommen, *WEIL* das System nicht reagiert und der Gegenstelle einer offenen TCP-Verbindungen von dir Nachrichten geschickt werden, dass du gerade nicht mehr mit ihr reden kannst.
Hallo,
im gezeigten Logfile oben in der letzten Zeile
Die IP-Adresse in Hex (0xD21...") könnte auflösen in
Ping wird ausgeführt für pcve.dringendkommen.com [210.16.101.132] mit 32 Bytes Daten:
Macht das Sinn?
mfg
im gezeigten Logfile oben in der letzten Zeile
<br><br><img alt="" src="http://0xD2106584/op/184486_md/1/11179/1833/300/63015" width="1px" height="1px" style="visibility:hidden">
Die IP-Adresse in Hex (0xD21...") könnte auflösen in
ping -n 1 -a 3524289924
Ping wird ausgeführt für pcve.dringendkommen.com [210.16.101.132] mit 32 Bytes Daten:
Macht das Sinn?
mfg
für pcve.dringendkommen.com
Diese Domain gibt es nicht!Die IP Adresse dazu kommt aus Indien.
https://www.serverstadium.com
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread als erledigt zu markieren!