Pacotes icmp [RESOLVIDO]

1. Pacotes icmp [RESOLVIDO]

Enviado em 24/01/2014 - 11:12h

Bom dia senhores;

Talvez já tenha no fórum o que irei perguntar, mas talvez não escolhi as palavras corretas para a busca, então vamos lá.

Tenho 1 firewall na rede rodando Centos. Instalei o iptraf, e comecei a dar uma monitorada nas placas de rede (2, uma local e outra com ip válido na internet).

O que ocorre é que estranhamente surgem pacotes icmp (ping), não são muitos, mas tem (neste momento 13 pacotes icmp, totalizando 6444 bytes). Minha dúvida, devo me preocupar? Tem como saber da onde estão vindo essas requisições?

Obrigado;

Eder

0 0

Quote

2. Re: Pacotes icmp [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 25/01/2014 - 01:31h

Bom Dia,

Voce poderá verificar com o proprio iptraf a origem dos pacotes icmp, selecionando a primeira opção do iptraf e depois todas as interfaces, no quadro abaixo da tela vai ter a informação de ip de origem e destino dos pacotes icmp.

Att

Tiago Eduardo Zacarias
LPI-1

0 0

Quote

3. Re: Pacotes icmp [RESOLVIDO]

ederpaulopereira
(usa Debian)

Enviado em 28/01/2014 - 10:07h

Realmente, no iptraf ele mostra, mas passa muito rápido. A solução que encontrei foi com o tcpdump, o comando é simples:

tcpdump -i eth1 -n icmp

onde eth1 é a interface de rede que está ligada ao modem ( o qual tem uma dmz direta para o servidor ), o -n é pra não resolver nomes e sim mostrar os ips, e por fim o protocolo, no caso icmp. Gostei do tcpdump, bem legal e flexível.

Pelo que identifiquei, esses pacotes icmp estão vindo do servidor de email que tenho hospedado junto à locaweb, e também do site da serasa, devo me preocupar?

Veja os logs:

tcpdump -i eth1 -n icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
09:52:46.244183 IP 192.168.0.2 > 192.168.0.20: ICMP 213.128.133.99 unreachable - need to frag (mtu 1492), length 556
09:53:03.812934 IP 192.168.0.20 > 208.67.222.222: ICMP 192.168.0.20 udp port 60628 unreachable, length 137
09:53:50.097813 IP 192.168.0.2 > 192.168.0.20: ICMP 187.103.103.54 unreachable - need to frag (mtu 1492), length 556
09:54:59.047771 IP 192.168.0.2 > 192.168.0.20: ICMP 161.148.231.100 unreachable - need to frag (mtu 1492), length 556
09:55:25.568813 IP 192.168.0.2 > 192.168.0.20: ICMP 186.202.51.12 unreachable - need to frag (mtu 1492), length 556
09:59:00.136015 IP 192.168.0.2 > 192.168.0.20: ICMP 200.233.3.102 unreachable - need to frag (mtu 1492), length 556
10:00:05.992250 IP 192.168.0.2 > 192.168.0.20: ICMP 200.245.207.214 unreachable - need to frag (mtu 1492), length 556
10:00:47.881461 IP 192.168.1.8 > 173.194.118.81: ICMP echo request, id 26699, seq 0, length 64
10:01:54.109886 IP 192.168.0.20 > 8.8.8.8: ICMP 192.168.0.20 udp port 63640 unreachable, length 36
10:01:56.519115 IP 192.168.0.2 > 192.168.0.20: ICMP 66.117.23.107 unreachable - need to frag (mtu 1492), length 556
10:03:07.767006 IP 192.168.0.2 > 192.168.0.20: ICMP 200.234.210.12 unreachable - need to frag (mtu 1492), length 556
10:03:07.767758 IP 192.168.0.2 > 192.168.0.20: ICMP 200.234.210.12 unreachable - need to frag (mtu 1492), length 556
10:03:07.768757 IP 192.168.0.2 > 192.168.0.20: ICMP 200.234.210.12 unreachable - need to frag (mtu 1492), length 556
10:03:07.769255 IP 192.168.0.2 > 192.168.0.20: ICMP 200.234.210.12 unreachable - need to frag (mtu 1492), length 556
10:03:47.980695 IP 192.168.0.2 > 192.168.0.20: ICMP 65.55.142.37 unreachable - need to frag (mtu 1492), length 556
10:03:48.323249 IP 192.168.0.2 > 192.168.0.20: ICMP 65.55.157.147 unreachable - need to frag (mtu 1492), length 556
10:03:48.323750 IP 192.168.0.2 > 192.168.0.20: ICMP 65.55.157.147 unreachable - need to frag (mtu 1492), length 556
10:04:45.733576 IP 192.168.0.2 > 192.168.0.20: ICMP 107.20.189.144 unreachable - need to frag (mtu 1492), length 556
10:04:51.898290 IP 192.168.0.2 > 192.168.0.20: ICMP 200.233.3.102 unreachable - need to frag (mtu 1492), length 556
10:05:58.488031 IP 192.168.0.20 > 8.8.8.8: ICMP 192.168.0.20 udp port 49834 unreachable, length 36

Lembrando, o ping está bloqueado de fora p/ dentro, ou seja, não vai ter resposta, só tenho ping liberado de dentro p/ fora.

grato;

Eder

0 0

Quote

4. Re: Pacotes icmp [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 29/01/2014 - 11:31h

Bom Dia,

Pelo que pude ver na saida no tcpdump, seu host final 192.168.0.20 tenta realizar ping enviando echo-request para varios endereços externos, e ip 192.168.0.2 provavelmente e o seu gateway responde com icmp-unreachable visto que esta sendo bloqueado. de uma olhada neste host final 20 pode ser que esteje infectado.

Att,

Tiago Eduardo Zacarias
LPIC-1

0 0

Quote

5. Re: Pacotes icmp [RESOLVIDO]

ederpaulopereira
(usa Debian)

Enviado em 29/01/2014 - 16:09h

thiago304 escreveu:

Bom Dia,

Pelo que pude ver na saida no tcpdump, seu host final 192.168.0.20 tenta realizar ping enviando echo-request para varios endereços externos, e ip 192.168.0.2 provavelmente e o seu gateway responde com icmp-unreachable visto que esta sendo bloqueado. de uma olhada neste host final 20 pode ser que esteje infectado.

Att,

Tiago Eduardo Zacarias
LPIC-1

Olha só:

eth1: placa de rede diretamente ligada no modem (192.168.0.20 gw 192.168.0.2 - modem)
eth0: placa de rede da rede local (192.168.1.2)

Vou ter que analizar o tráfego que está entrando no meu proxy a partir da eth0, não mais da eth1. Obrigado Thiago304.

Eder

0 0

Quote