/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
IGMP, type 17 - hvad er det?
Fra : Simon Walther-Larsen


Dato : 28-12-03 22:03

Hej NG.

Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
for al internetadgang, så myldrer det med "IGMP Query's"
Source IP er ny for hver query, men destination IP er hver gang
224.0.0.1.

Jeg har lagt et screendump i dk.binaer:
news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.ne

Hvad er det for noget? (Should I worry..?)
Jeg har ifølge Ad-Aware ikke noget spyware på computeren.

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

 
 
Simon Walther-Larsen (28-12-2003)
Kommentar
Fra : Simon Walther-Larsen


Dato : 28-12-03 22:08


Lille korrektion:

> Jeg har lagt et screendump i dk.binaer:
news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.net

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

Eric Schon (29-12-2003)
Kommentar
Fra : Eric Schon


Dato : 29-12-03 00:06

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:1ap2qoqupn2ss.1juulmy33sj97$.dlg@40tude.net:

>
> Lille korrektion:
>
>> Jeg har lagt et screendump i dk.binaer:
> news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.net
>

hej simon,

det ligner et denial-of-service attack.

se evt. her: http://blacksun.box.sk/tutorials.php/id/154


es

Simon Walther-Larsen (29-12-2003)
Kommentar
Fra : Simon Walther-Larsen


Dato : 29-12-03 00:36



> hej simon,
>
> det ligner et denial-of-service attack.
>
> se evt. her: http://blacksun.box.sk/tutorials.php/id/154
>
>
> es

Tak for linket. Jeg ved dog stadig ikke hvordan jeg skal forholde mig
til det faktum at de "querys" myldrer ind, når interadgangen lukkes
fra min side.

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

Eric Schon (29-12-2003)
Kommentar
Fra : Eric Schon


Dato : 29-12-03 01:55

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in news:674rt9ya3eqv
$.hg4clpgym6ao.dlg@40tude.net:

>
>
>> hej simon,
>>
>> det ligner et denial-of-service attack.
>>
>> se evt. her: http://blacksun.box.sk/tutorials.php/id/154
>>
>>
>> es
>
> Tak for linket. Jeg ved dog stadig ikke hvordan jeg skal forholde mig
> til det faktum at de "querys" myldrer ind, når interadgangen lukkes
> fra min side.
>

hej simon,

disse queries er ikke rettet mod dig, men mod alle - 224.0.0.1 bruges til
multicast; alle har den adresse, så forespørgsler til den "støjer".

måske skulle du hellere bekymre dig om, hvordan du bør forholde dig når
der er åbent til intenettet.

umiddelbart vil jeg vurdere, at du kan undvære at kunne modtage
multicasts, og mon ikke du kan lave en regel i firewallen, der ordner
det?

hvis det er tdc's routere, der rent rutinemæssigt tilspørger computere på
det net du sidder på, så holder de vel også op igen? prøv at observere
hvad der sker over et par ugers tid.


es

Tom Madsen (28-12-2003)
Kommentar
Fra : Tom Madsen


Dato : 28-12-03 23:52

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:dxlsp2ol56ed.2w3xsemrctbx.dlg@40tude.net:

> Hej NG.
>
> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
> for al internetadgang, så myldrer det med "IGMP Query's"
> Source IP er ny for hver query, men destination IP er hver gang
> 224.0.0.1.
>
> Jeg har lagt et screendump i dk.binaer:
> news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.ne
>
> Hvad er det for noget? (Should I worry..?)
> Jeg har ifølge Ad-Aware ikke noget spyware på computeren.

Hej Simon

Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17 på
IGMP protokollen.

en ICMP type 17 en en anmodning om modtage oplysninger om hvad der køres
med at subnet masker. Det er typisk ikke oplysninger du er interesseret i
bevæger sig uden for dit eget net.

Det kan du sikre dig ved at sætte firewallen op til at droppe pakker med
ICMP type 17 requests.

Godt nytår

Tom Madsen



Simon Walther-Larsen (29-12-2003)
Kommentar
Fra : Simon Walther-Larsen


Dato : 29-12-03 00:33



> Hej Simon
>
> Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17 på
> IGMP protokollen.

Nej, jeg mener nu IGMP. Ifølge linket fra Eric Schon er type 17 "IGMP
Membership Query".

Men disse querys optræder jo først i loggen når jeg stopper for al
trafik. Derudover er de der alrig..?

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

Tom Madsen (29-12-2003)
Kommentar
Fra : Tom Madsen


Dato : 29-12-03 12:08

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:19dlzqrx391a8.101gew92rk2p8$.dlg@40tude.net:

>
>
>> Hej Simon
>>
>> Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17
>> på IGMP protokollen.
>
> Nej, jeg mener nu IGMP. Ifølge linket fra Eric Schon er type 17 "IGMP
> Membership Query".
>
> Men disse querys optræder jo først i loggen når jeg stopper for al
> trafik. Derudover er de der alrig..?
>

Nu kan jeg se af de senere indlæg at det er TDC der er din udbyder. Jeg
vi så gætte på at de bruger IGMP til deres interne network management,
men jeg ved det ikke.

Hvad loggen angår så vil firewallen typisk kun logge den trafik som ikke
er tilladt. Eftersom du lukker for al trafik så bliver IGMP pakkerne
naturligvis logget.


Mvh

Tom

A.I. (29-12-2003)
Kommentar
Fra : A.I.


Dato : 29-12-03 01:26


> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
> for al internetadgang, så myldrer det med "IGMP Query's"
> Source IP er ny for hver query, men destination IP er hver gang
> 224.0.0.1.

jeg vil tro det er din udbyders server der pinger dig for at tjekke om
forbindelsen er aktiv eller ej. Jeg kiggede lige på et par IP'erne, og de
tilhøre Tele Danmark Kabel TV ( http://ripe.net/db/whois/whois.html )
hvilket også er din udbyder.

Godt nytår *



Simon Walther-Larsen (29-12-2003)
Kommentar
Fra : Simon Walther-Larsen


Dato : 29-12-03 02:03


>> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
>> for al internetadgang, så myldrer det med "IGMP Query's"
>> Source IP er ny for hver query, men destination IP er hver gang
>> 224.0.0.1.
>
> jeg vil tro det er din udbyders server der pinger dig for at tjekke om
> forbindelsen er aktiv eller ej. Jeg kiggede lige på et par IP'erne, og de
> tilhøre Tele Danmark Kabel TV ( http://ripe.net/db/whois/whois.html )
> hvilket også er din udbyder.
>
> Godt nytår *

Det er da det det er!
Men hvorfor?
Er det en TDC politik - eller vil jeg også opleve det hjemme hos mig
selv (Cybercity)?

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

A.I. (29-12-2003)
Kommentar
Fra : A.I.


Dato : 29-12-03 04:22

> Det er da det det er!
> Men hvorfor?

....for at de kan se om du er online og kan gi dig fuld valuta for dine
penge.......og finder de dig ikke online, er jeg sikker på de nyder godt af
dine ubrugte ressourcer et andet sted :o|

> Er det en TDC politik - eller vil jeg også opleve det hjemme hos mig
> selv (Cybercity)?

....ved det ikke, men mon ikke det samme begge steder (prøv) ?



Lasse Jarlskov (31-12-2003)
Kommentar
Fra : Lasse Jarlskov


Dato : 31-12-03 14:19

On Sun, 28 Dec 2003 22:03:09 +0100, Simon Walther-Larsen
<swalther_@_larsen.dk> wrote:

>Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
>for al internetadgang, så myldrer det med "IGMP Query's"
>Source IP er ny for hver query, men destination IP er hver gang
>224.0.0.1.

Som Eric Schon har nævnt er 224.0.0.0/4 brugt til multicast.
224.0.0.1 er specifikt en multicast-gruppe som betyder "alle hosts på
dette subnet", jvf. http://rfc.sunsite.dk/rfc/rfc1112.html afsnit 4
øverst side 3:
The address 224.0.0.0 is guaranteed not to be assigned to any
group, and 224.0.0.1 is assigned to the permanent group of all IP
hosts (including gateways). This is used to address all multicast
hosts on the directly connected network.

Som du selv har fundet ud af fra Erics link er IGMP type 17 "IGMP
Membership Query".

Samme dokument App. I, under Informal protocol description, øverst
side 12:
Multicast routers send Host Membership Query messages (hereinafter
called Queries) to discover which host groups have members on their
attached local networks. Queries are addressed to the all-hosts
group (address 224.0.0.1), and carry an IP time-to-live of 1.


De pakker du ser er altså helt normal opførsel for routere som
understøtter multicast.


Som A.I. også ganske rigtigt har nævnt så er (næsten) alle de
IP-adresser der optræder som source, nogen som bruges af TDC Kabel-TV,
som er din udbyder.


Mit gæt vil derfor være at disse pakker kommer fra alle de andre TDC
Kabel-TV-kunder, som sidder på samme netværkssegment som dig.

Det er altså helt normalt at disse IGMP-pakker er tilstede - der er
ingen grund til at bekymre sig.


/Jarlskov

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste