1
Wer oder was pingt?
Welches Programm pingt pausenlos vom Server?
Hallo,
wir haben folgende Situation:
SBS 2003 R2 ISA 2004, SQL2005, Exchange 2003, DHCP, WINS , OWA veröffentlicht, Web veröffentlicht.
Wir haben folgendes Problem:
Der ISA protokolliert ständige Pings im Netz, es werden alle Adressen von 10.0.0.1 – 10.255.255.255 der Reihe nach angepingt.
Die Meldung am ISA:
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: ICMP-Anforderungen vom ISA Server an ausgewählte Server zulassen
Quelle: Lokaler Host ( 10.0.0.1:8)
Ziel: Intern ( 10.39.70.241:0)
Protokoll: Ping
Benutzer:
Zusätzliche Informationen 1.
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 02.
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: 10.0.0.13.
Client-Agent:
alle Versuche die Quelle des Pings zu lokalisieren sind bis dato fehlgeschlagen.
Der Virenscanner kann auch nichts zur Lösung beitragen.
Als Quelle wird immer der Server, interne NIC, und immer Port 8 angegeben.
Die Zielports ändern sich.
Die Virenscanner der Clients protokollieren in unregelmäßigen Abständen Dos Attacken.
Panda Security for Desktops hat einen Eindringversuch erkannt und folgende Aktion durchgeführt: DoS-Attacken blocken
COMPUTER: xy1
ERGEBNISSE: Abgebrochener Eindringversuch
Hat jemand eine Idee wie man das Programm ermitteln kann welches den Ping sendet?
Das Protokollieren am ISA haben wir mittlerweile abgeschaltet da die Protokolle regelmäßig auf Grund der Datenmenge überliefen.
Wir haben keine Ahnung was da los ist und wie gefährlich wir das einschätzen müssen.
wir haben folgende Situation:
SBS 2003 R2 ISA 2004, SQL2005, Exchange 2003, DHCP, WINS , OWA veröffentlicht, Web veröffentlicht.
Wir haben folgendes Problem:
Der ISA protokolliert ständige Pings im Netz, es werden alle Adressen von 10.0.0.1 – 10.255.255.255 der Reihe nach angepingt.
Die Meldung am ISA:
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: ICMP-Anforderungen vom ISA Server an ausgewählte Server zulassen
Quelle: Lokaler Host ( 10.0.0.1:8)
Ziel: Intern ( 10.39.70.241:0)
Protokoll: Ping
Benutzer:
Zusätzliche Informationen 1.
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 02.
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: 10.0.0.13.
Client-Agent:
alle Versuche die Quelle des Pings zu lokalisieren sind bis dato fehlgeschlagen.
Der Virenscanner kann auch nichts zur Lösung beitragen.
Als Quelle wird immer der Server, interne NIC, und immer Port 8 angegeben.
Die Zielports ändern sich.
Die Virenscanner der Clients protokollieren in unregelmäßigen Abständen Dos Attacken.
Panda Security for Desktops hat einen Eindringversuch erkannt und folgende Aktion durchgeführt: DoS-Attacken blocken
COMPUTER: xy1
ERGEBNISSE: Abgebrochener Eindringversuch
Hat jemand eine Idee wie man das Programm ermitteln kann welches den Ping sendet?
Das Protokollieren am ISA haben wir mittlerweile abgeschaltet da die Protokolle regelmäßig auf Grund der Datenmenge überliefen.
Wir haben keine Ahnung was da los ist und wie gefährlich wir das einschätzen müssen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 112238
Url: https://administrator.de/contentid/112238
Printed on: April 19, 2024 at 20:04 o'clock
1 Comment
Wenn, dann ist es kein Port sondern der Typ 8 eines ICMP Paketes. Das ist ein Echo Reply.
Ping basiert auf dem ICMP Protokoll und NICHT auf TCP oder UDP wie du ja sicher selber weisst ?!
Siehe:
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Hänge ganz einfach einen Paket Sniffer wie den Wireshark oder den MS NetMonitor ins Netz und sniffer diese Pakete mit.
Anhand der Quell IP Adresse und der darauf basierenden MAC Adresse hast du den bösen Buhmann der diese Ping Sweeps im Netz macht im Handumdrehen herausgefunden und kannst ihm schnell das Handwerk legen !!!
Du solltest die Gefährlichkeit nicht unterschätzen. Ping Sweeps deuten in der Regel immer auf etwas hin was das Netzwerk auspionieren bzw. angreifen will. Meist folgt auf darauf ein Portscan und Angriffsversuch auf einen antwortenden Host.
Ping basiert auf dem ICMP Protokoll und NICHT auf TCP oder UDP wie du ja sicher selber weisst ?!
Siehe:
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Hänge ganz einfach einen Paket Sniffer wie den Wireshark oder den MS NetMonitor ins Netz und sniffer diese Pakete mit.
Anhand der Quell IP Adresse und der darauf basierenden MAC Adresse hast du den bösen Buhmann der diese Ping Sweeps im Netz macht im Handumdrehen herausgefunden und kannst ihm schnell das Handwerk legen !!!
Du solltest die Gefährlichkeit nicht unterschätzen. Ping Sweeps deuten in der Regel immer auf etwas hin was das Netzwerk auspionieren bzw. angreifen will. Meist folgt auf darauf ein Portscan und Angriffsversuch auf einen antwortenden Host.
