---

Hej NG.

Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
for al internetadgang, så myldrer det med "IGMP Query's"
Source IP er ny for hver query, men destination IP er hver gang
224.0.0.1.

Jeg har lagt et screendump i dk.binaer:
news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.ne

Hvad er det for noget? (Should I worry..?)
Jeg har ifølge Ad-Aware ikke noget spyware på computeren.

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

---

Lille korrektion:

> Jeg har lagt et screendump i dk.binaer:
news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.net

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

---

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:1ap2qoqupn2ss.1juulmy33sj97$.dlg@40tude.net:

>
> Lille korrektion:
>
>> Jeg har lagt et screendump i dk.binaer:
> news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.net
>

hej simon,

det ligner et denial-of-service attack.

se evt. her: http://blacksun.box.sk/tutorials.php/id/154


es

---

> hej simon,
>
> det ligner et denial-of-service attack.
>
> se evt. her: http://blacksun.box.sk/tutorials.php/id/154
>
>
> es

Tak for linket. Jeg ved dog stadig ikke hvordan jeg skal forholde mig
til det faktum at de "querys" myldrer ind, når interadgangen lukkes
fra min side.

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

---

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in news:674rt9ya3eqv
$.hg4clpgym6ao.dlg@40tude.net:

>
>
>> hej simon,
>>
>> det ligner et denial-of-service attack.
>>
>> se evt. her: http://blacksun.box.sk/tutorials.php/id/154
>>
>>
>> es
>
> Tak for linket. Jeg ved dog stadig ikke hvordan jeg skal forholde mig
> til det faktum at de "querys" myldrer ind, når interadgangen lukkes
> fra min side.
>

hej simon,

disse queries er ikke rettet mod dig, men mod alle - 224.0.0.1 bruges til
multicast; alle har den adresse, så forespørgsler til den "støjer".

måske skulle du hellere bekymre dig om, hvordan du bør forholde dig når
der er åbent til intenettet.

umiddelbart vil jeg vurdere, at du kan undvære at kunne modtage
multicasts, og mon ikke du kan lave en regel i firewallen, der ordner
det?

hvis det er tdc's routere, der rent rutinemæssigt tilspørger computere på
det net du sidder på, så holder de vel også op igen? prøv at observere
hvad der sker over et par ugers tid.


es

---

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:dxlsp2ol56ed.2w3xsemrctbx.dlg@40tude.net:

> Hej NG.
>
> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
> for al internetadgang, så myldrer det med "IGMP Query's"
> Source IP er ny for hver query, men destination IP er hver gang
> 224.0.0.1.
>
> Jeg har lagt et screendump i dk.binaer:
> news:1u4mv502huy4t.14pvggqrmc59k$.dlg@40tude.ne
>
> Hvad er det for noget? (Should I worry..?)
> Jeg har ifølge Ad-Aware ikke noget spyware på computeren.

Hej Simon

Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17 på
IGMP protokollen.

en ICMP type 17 en en anmodning om modtage oplysninger om hvad der køres
med at subnet masker. Det er typisk ikke oplysninger du er interesseret i
bevæger sig uden for dit eget net.

Det kan du sikre dig ved at sætte firewallen op til at droppe pakker med
ICMP type 17 requests.

Godt nytår

Tom Madsen

---

> Hej Simon
>
> Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17 på
> IGMP protokollen.

Nej, jeg mener nu IGMP. Ifølge linket fra Eric Schon er type 17 "IGMP
Membership Query".

Men disse querys optræder jo først i loggen når jeg stopper for al
trafik. Derudover er de der alrig..?

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

---

Simon Walther-Larsen <swalther_@_larsen.dk> wrote in
news:19dlzqrx391a8.101gew92rk2p8$.dlg@40tude.net:

>
>
>> Hej Simon
>>
>> Jeg går ud fra at du mener ICMP, eftersom der ikke findes en type 17
>> på IGMP protokollen.
>
> Nej, jeg mener nu IGMP. Ifølge linket fra Eric Schon er type 17 "IGMP
> Membership Query".
>
> Men disse querys optræder jo først i loggen når jeg stopper for al
> trafik. Derudover er de der alrig..?
>

Nu kan jeg se af de senere indlæg at det er TDC der er din udbyder. Jeg
vi så gætte på at de bruger IGMP til deres interne network management,
men jeg ved det ikke.

Hvad loggen angår så vil firewallen typisk kun logge den trafik som ikke
er tilladt. Eftersom du lukker for al trafik så bliver IGMP pakkerne
naturligvis logget.


Mvh

Tom

---

> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
> for al internetadgang, så myldrer det med "IGMP Query's"
> Source IP er ny for hver query, men destination IP er hver gang
> 224.0.0.1.

jeg vil tro det er din udbyders server der pinger dig for at tjekke om
forbindelsen er aktiv eller ej. Jeg kiggede lige på et par IP'erne, og de
tilhøre Tele Danmark Kabel TV ( http://ripe.net/db/whois/whois.html )
hvilket også er din udbyder.

Godt nytår *

---

>> Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
>> for al internetadgang, så myldrer det med "IGMP Query's"
>> Source IP er ny for hver query, men destination IP er hver gang
>> 224.0.0.1.
>
> jeg vil tro det er din udbyders server der pinger dig for at tjekke om
> forbindelsen er aktiv eller ej. Jeg kiggede lige på et par IP'erne, og de
> tilhøre Tele Danmark Kabel TV ( http://ripe.net/db/whois/whois.html )
> hvilket også er din udbyder.
>
> Godt nytår *

Det er da det det er!
Men hvorfor?
Er det en TDC politik - eller vil jeg også opleve det hjemme hos mig
selv (Cybercity)?

--
Regards
Simon Walther-Larsen
Haderslev, Sdr. Jylland, Denmark
( remove _ & _ for reply )

---

> Det er da det det er!
> Men hvorfor?

....for at de kan se om du er online og kan gi dig fuld valuta for dine
penge.......og finder de dig ikke online, er jeg sikker på de nyder godt af
dine ubrugte ressourcer et andet sted :o|

> Er det en TDC politik - eller vil jeg også opleve det hjemme hos mig
> selv (Cybercity)?

....ved det ikke, men mon ikke det samme begge steder (prøv) ?

---

On Sun, 28 Dec 2003 22:03:09 +0100, Simon Walther-Larsen
<swalther_@_larsen.dk> wrote:

>Jeg har netop lagt mærke til at når jeg via firewallen (eTrust) lukker
>for al internetadgang, så myldrer det med "IGMP Query's"
>Source IP er ny for hver query, men destination IP er hver gang
>224.0.0.1.

Som Eric Schon har nævnt er 224.0.0.0/4 brugt til multicast.
224.0.0.1 er specifikt en multicast-gruppe som betyder "alle hosts på
dette subnet", jvf. http://rfc.sunsite.dk/rfc/rfc1112.html afsnit 4
øverst side 3:
The address 224.0.0.0 is guaranteed not to be assigned to any
group, and 224.0.0.1 is assigned to the permanent group of all IP
hosts (including gateways). This is used to address all multicast
hosts on the directly connected network.

Som du selv har fundet ud af fra Erics link er IGMP type 17 "IGMP
Membership Query".

Samme dokument App. I, under Informal protocol description, øverst
side 12:
Multicast routers send Host Membership Query messages (hereinafter
called Queries) to discover which host groups have members on their
attached local networks. Queries are addressed to the all-hosts
group (address 224.0.0.1), and carry an IP time-to-live of 1.


De pakker du ser er altså helt normal opførsel for routere som
understøtter multicast.


Som A.I. også ganske rigtigt har nævnt så er (næsten) alle de
IP-adresser der optræder som source, nogen som bruges af TDC Kabel-TV,
som er din udbyder.


Mit gæt vil derfor være at disse pakker kommer fra alle de andre TDC
Kabel-TV-kunder, som sidder på samme netværkssegment som dig.

Det er altså helt normalt at disse IGMP-pakker er tilstede - der er
ingen grund til at bekymre sig.


/Jarlskov