icmp redirect

Dan Lukes dan at obluda.cz
Fri May 26 14:13:59 CEST 2006


Peter Rosa napsal/wrote, On 05/26/06 10:51:
>> ADSL router 192.168.0.1 zada pocitac, v jehoz LOGu se hlasky objevily, 
>> aby pakety urcene pro 192.168.0.110 odesilal na stroj 192.168.0.110 
>> (tedy primo, ergo, ADSL router je presvedcen, ze tyto dva stroje jsou v 
>> jedne siti, kdezto adresat ICMP paketu si to patrne nemysli - to je 
>> patrne ten jiz zmineny nesoulad masek na obou strojich).
>> 
> ADSL router ma IP 192.168.0.1/24, firewall 192.168.0.110/24. Takze ADSL 
> router ziada firewall (v jeho logu sa objavili tie hlasky), aby pakety 
> pre seba sameho posielal sebe samemu :-) Pochopil som spravne? Na ich 
> sieti nie je ziadny dalsi pocitac, iba tieto dve zariadenia.

> Takze otazka asi znie, co mohlo sposobit nutnost icmp presmerovania?

		To uz jsem psal - ICMP router vygeneroval proto, ze nekdo mu poslal 
paket, ktery byl adresovan 0.110 a ktery mel byt nejspis zaslan primo. A 
zdojova adresa toho paketu byla take 0.110

	Proc paket nebyl zaslan primo, to opravdu nevim.

> A na to si neviem odpovedat... Mas, prosim, nejaky napad?
> Na firewalle bezi este http proxy - mohlo to sposobit toto proxy?

	To opravdu nevim a nema smysl, abych okolo toho spekuloval, kdyz ty si 
muzes spustit tcpdump a ony pakety celkem jasne najit a pote uz se jen 
podivat co jsou zac - a tedy znat zdroj prakticky bez spekulaci a jasne, 
zatimco ja muzu jen hadat.

> A mozno to ozaj nestoji za to, vrtat sa v tom :-)

	V te siti se evidentne deje neco divneho - to, ze pocitac posila pakety 
sam sobe pres router lze tezko povazovat za "normalni". Ovsem, jestli to 
vadi natolik, aby melo smysl se tim zabyvat nebo ne, to uz je na tobe.

	Jinak - alternativni vysvetleni jsou samozrejme mozna - napriklad ten 
paket, na ktery router reaguje, odeslal nekdo uplne jiny (a jde o utok 
nebo chybnou konfiguraci neceho jineho) - a dalsi moznost je, ze jde o 
chyb toho routeru a ICMP byl odeslan bezduvodne.

	Ovsem, o alternativnich vysvetlenich byl uvazoval teprve tehdy, kdyz 
bych mel hotovu tu analyzu skutecnych toku z tcpdumpu - je lepsi vedet, 
nez hadat.

					Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list