Invio di richieste echo ICMP non interrotte a un IP

9

Ho notato mentre appeso su Microsoft Network Monitor che il mio computer invia la richiesta echo ICMP a un indirizzo IP arbitrario 202.39.253.11 . Ho cercato il proprietario di questo IP e ho scoperto che è di proprietà di qualche azienda di comunicazione cinese o taiwanese chiamata HINET. Sembra che abbiano un sito web a questo indirizzo, anche se le risposte sembrano venire 202.39.253.12 .

Mi stavo chiedendo, sono a rischio di aprirmi al tunneling ICMP da un attaccante remoto?

Ho guardato i pacchetti e sembrano tutti uguali:

08 00 6E 89 00 01 00 14 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

08 00 6E 88 00 01 00 15 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

Le risposte sono tutte uguali, ad eccezione di 9 byte di dati 00 alla fine del carico utile della risposta. So che vedendo questo non si scambiano dati al momento, ma è possibile che un software "spia" sia installato sul mio computer e potrebbe iniziare a inviare dati ad un certo punto?

EDIT: sembrano possedere 202.39.128.0/17

EDIT 2: Poiché non riesco ancora a scoprire quale processo stia generando tutte queste richieste ICMP, configurerò un server proxy usando Winpcap per simulare la risposta del server e capire quale processo sta rispondendo a "comandi" casuali dal server . Impostando percorsi personalizzati dovrei essere in grado di trasferire la richiesta echo sul mio server. Qualche idea su come rilevare un comportamento strano da un processo che riceve comandi nascosti in un tunnel ICMP? Ho pensato che avrei potuto provare a utilizzare Sysinternals Process Monitor e controllare l'accesso al registro fallito o altri tipi di errori.

EDIT 3: finalmente ce l'ho fatta! Per qualche ragione ho avuto questa idea di usare una soluzione "forza bruta" per trovare il processo che causa il problema. Osservando ogni singola sequenza di byte sul mio disco rigido, potrei trovare i dati grezzi nel file eseguibile di un programma. Così ho eseguito il primo programma che ho trovato, "SearchMyFiles" ( link ) e ho avviato una query per ICMP echo . Indovina cosa ho trovato, appartamente da un sacco di cronologia di Google Chrome ... Una dll contenente ICMP echo e www.hinet.net . Ecco un'anteprima dei dati che ho trovato:

49 43 4D 50 20 65 63 68 6F at offset 0001E4BC which correspond to ICMP echo

and

77 77 77 2E 68 69 6E 65 74 2E 6E 65 74 at offset 0001E233 (www.hinet.net)

La dll si chiama gep.dll e si trova qui C:\Program Files (x86)\ASUS\AI Suite II\Network iControl\NetSvcHelp Quindi sembra essere ASUS che invia tutte queste richieste ICMP. Ho una scheda madre ASUS e ho installato l'AI Suite dal loro sito web.

Non so ancora se questa connessione sia legittima o sicura e non riesco a trovare informazioni su Internet riguardo a questa strana comunicazione tra un processo asus e un server a Taiwan

    
posta Alex Rose 04.12.2013 - 17:55
fonte

4 risposte

6

Ho avuto lo stesso problema, ping costante a 202.39.253.11.

Ho rimosso ASUS Ai SUITE II e ho eseguito il pulitore di disinstallazione e i ping si sono fermati

Il pulitore era a

link

    
risposta data 23.12.2013 - 14:27
fonte
3

Per quanto riguarda l'ICMP periodico (1 secondo intervallo) di Ai Suite II, è sufficiente disabilitare l'opzione "Network iControl" per fermare i ping. Non è necessario rimuovere completamente questo servizio ASUS.

    
risposta data 28.10.2014 - 16:40
fonte
2

dato che sono tutti echo ... non penso che siano per il tunneling MA!

potresti essere hackerato. Alcuni malware inviano pacchetti tipo ping a siti Web o indirizzi ip strani. questi sono per lo più bot net malwares ... Il tuo PC sta dicendo I AM QUI .... I AM QUI inviando quei messaggi echo e ad un certo punto, quando ci sarà un attacco, l'hacker sarà effettivamente il proprietario del server e invierà comandi a chiunque invii pacchetti echo o altri pacchetti predefiettati.

zBot e alcuni altri botnet usavano alghorithms come questo ...

o, naturalmente, può essere un servizio o qualsiasi altra cosa ... ma è bene essere al sicuro e controllare prima il caso peggiore.

    
risposta data 17.12.2013 - 09:10
fonte
0

Anch'io ho osservato un livello sospetto di traffico ICMP sull'indirizzo IPv4 202.39.253.11 durante una scansione di Wireshark di routine.

Per a whois:

$ whois 202.39.253.11

   Netname: HINET-NET
   Netblock: 202.39.253.0/24

La mia soluzione era disinstallare un'applicazione Windows nota come "Network Genie".

Questa applicazione è stata resa disponibile come download dal sito web della scheda madre MSI e (presumibilmente) assiste nelle funzioni relative alla rete (driver) per il chip Realtek LAN integrato.

Seguendo alcuni googling veloci (parole chiave: "network", "genie", "hinet"), sembra che Network Genie condivide lo spazio degli indirizzi con HINET-NET.

Dopo aver disinstallato "Network Genie", il traffico ICMP si è fermato.

Se ciò non risolve il problema, ti consiglio comunque di utilizzare lo stesso approccio di base che ho utilizzato: rimuovere il software uno alla volta fino a quando l'autore del reato non viene identificato.

Se ciò non funziona, potrebbe essere un'indicazione di un compromesso di qualche tipo, a quel punto il backup e il riformattamento del sistema operativo dovrebbero essere perseguiti con rapidità e urgenza.

    
risposta data 05.12.2015 - 11:40
fonte

Leggi altre domande sui tag