我的计算机正在向任意目的地发送 ICMP 数据包

tag-icon tag-icon windows hacking icmp rootkit packets
我的计算机正在向任意目的地发送 ICMP 数据包

我的计算机正在向任意目的地发送 ICMP 数据包。我不明白原因。其中一个数据包的转储如下:

Internet Control Message Protocol
    Type: 3 (Destination unreachable)
    Code: 3 (Port unreachable)
    Checksum: 0x811b [correct]
    Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 131
        Identification: 0x0631 (1585)
        Flags: 0x00
            0... .... = Reserved bit: Not set
            .0.. .... = Don't fragment: Not set
            ..0. .... = More fragments: Not set
        Fragment offset: 0
        Time to live: 111
        Protocol: UDP (17)
        Header checksum: 0xc19b [correct]
            [Good: True]
            [Bad: False]
        Source: 80.167.113.76 (80.167.113.76)
        Destination: 192.168.1.2 (192.168.1.2)
    User Datagram Protocol, Src Port: 61846 (61846), Dst Port: 25660 (25660)
        Source port: 61846 (61846)
        Destination port: 25660 (25660)
        Length: 111
        Checksum: 0x4b45 [validation disabled]
            [Good Checksum: False]
            [Bad Checksum: False]
    Data (103 bytes)

Data: 64313a6164323a696432303abe916abba14b8cb8a7167ce0...

这些任意 ICMP 数据包是什么意思?我害怕 rootkit。请帮忙。

操作系统:Windows 7 旗舰版

答案1

这是正常的,仅此一点不应成为任何担忧的原因。发生的事情是,IP 为 80.167.113.76 的计算机向您的计算机发送了一个 UDP 数据包,发送到端口 25660。您的计算机上没有运行任何程序等待此端口上的 UDP 数据包,然后您的计算机将此 ICMP 数据包发送回源,告知在给定端口上没有任何东西到达(ICMP 类型=3 代码=3 → 端口不可达)。ICMP 数据包包含最初发送的数据包的标头副本(在相反方向)。

如果您从数据包嗅探器(看起来像 wireshark?)获取此信息,那么请查找来自该IP的传入UDP数据包,该数据包在您刚刚在此问题中复制的数据包之前到达。

当然,您使用的 ISP 会动态为用户分配 IP 地址。可能您当前的 IP 地址正被某个运行 P2P 应用程序的人使用,您的 IP 加上此端口组合缓存在其他人的应用程序上,然后该应用程序尝试重新连接使用此 IP 的原始用户。

真的无需担心。但如果这让您感到困扰,您可能需要安装一个状态防火墙,它只会丢弃未跟踪会话的数据包。防火墙不会向源发送“端口不可访问”消息,而是直接丢弃原始数据包,因为它不会出现在其内部连接表中。

答案2

TCPView 之类的工具应该可以让您看到哪个进程正在创建这些数据包。这应该可以让您更好地了解它们的用途。

http://technet.microsoft.com/en-us/sysinternals/bb897437

答案3

我认为您收到了端口 25660 上的 UDP 80.167.113.76 的 ICMP 端口不可达消息。这意味着您计算机上的应用程序正在尝试通过 UDP 协议连接到 80.167.113.76:25660,并且没有远程服务正在侦听该端口,或者该端口已被过滤。

可能您正在运行一个 P2P 应用程序,它正在尝试连接到防火墙后面的某些客户端。

答案4

ICMP 是无状态的(没有会话),因此很难跟踪使用 Windows 的常用网络工具创建请求的进程。

使用 sysinternals 的 listdlls 之类的工具。然后,您可以查看哪个进程已加载 icmp.dll:

C:\Documents and Settings\用户>listdlls -d icmp

ListDLLs v3.1 - 列出已加载的 DLL
版权所有 (C) 1997-2011 Mark Russinovich
Sysinternals-www.sysinternals.com

------------------------------------------------------------------
Belkinwcui.exe pid:2484
命令行:“C:\Program Files\Belkin\F5D7050v3\Belkinwcui.exe”

基本尺寸路径
0x74290000 0x4000 ICMP.DLL

-http://www.linkedin.com/answers/technology/information-technology/computer-networking/TCH_ITS_CNW/12726-1647009

相关内容