|
| Linux - Reverse ICMP Mystik Fra : Osten |
Dato : 05-08-01 18:52 |
|
Nyinstalleret Red Hat 7.0 som kører web-server bag Cisco 677 (der kun åbner
for port 80) skriver med mellemrum følgende sjove meddelelse i den aktive
prompt (uden bruger logget ind):
IP_MASQ:reverse ICMP: failed checksum from XXX.XXX.XXX.XXX!
IP-addressen må være ude fra det store internet, og det er hændt med flere
forskellige IP-addresser. Hvad hulen betyder det? Der er sandsynligvis
installeret og kører flere forskellige "ting" på maskinen, for vi er lige
skiftet fra Win2K til Linux pga. "Code Red" ormen (måske ikke en valid grund
men der er også andre årsager), og er altså ikke de store stjerner til Linux
endnu.
Som man måske kan regne ud er vi en anelse paranoide lige nu og kunne godt
tænke os at vide om denne meddelelse er et udtryk for en eller anden form
for angreb udefra.
| |
Kent Friis (05-08-2001)
| Kommentar Fra : Kent Friis |
Dato : 05-08-01 19:36 |
|
Den Sun, 5 Aug 2001 19:51:34 +0200 skrev Osten:
>Nyinstalleret Red Hat 7.0 som kører web-server bag Cisco 677 (der kun åbner
>for port 80) skriver med mellemrum følgende sjove meddelelse i den aktive
>prompt (uden bruger logget ind):
>
>IP_MASQ:reverse ICMP: failed checksum from XXX.XXX.XXX.XXX!
>
>IP-addressen må være ude fra det store internet, og det er hændt med flere
>forskellige IP-addresser. Hvad hulen betyder det? Der er sandsynligvis
>installeret og kører flere forskellige "ting" på maskinen, for vi er lige
>skiftet fra Win2K til Linux pga. "Code Red" ormen (måske ikke en valid grund
>men der er også andre årsager), og er altså ikke de store stjerner til Linux
>endnu.
>
>Som man måske kan regne ud er vi en anelse paranoide lige nu og kunne godt
>tænke os at vide om denne meddelelse er et udtryk for en eller anden form
>for angreb udefra.
Nej, det er et tegn på et defekt netkort eller kabel et sted - i linux-
boxen, Cisco'en, DSLAM'en, eller et sted ude på nettet.
Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy
| |
Søren Emig (06-08-2001)
| Kommentar Fra : Søren Emig |
Dato : 06-08-01 19:34 |
|
> IP_MASQ:reverse ICMP: failed checksum from XXX.XXX.XXX.XXX!
Jeg ved ikke hvad der sker 100%, men jeg har oplevet noget lignende med min
gamle Cisco 677 router på en Ipchain firewall med to netkort. Efter en
opgradering til Cisco SOHO77 (WOL) stoppede den med fejlen.
| |
Ukendt (07-08-2001)
| Kommentar Fra : Ukendt |
Dato : 07-08-01 14:41 |
|
> IP_MASQ:reverse ICMP: failed checksum from XXX.XXX.XXX.XXX!
>
> IP-addressen må være ude fra det store internet, og det er hændt med flere
> forskellige IP-addresser. Hvad hulen betyder det?
Jeg ved ikke præcis hvad fejlen skyldes, men jeg har selv set den flere
gange, på min masquerading gateway.
Den plejer oftest at komme når en person bag gateway-maskinen kobler på
Halflife / Counterstrike og begynder at opdatere listen over servere. Fejlen
kommer gerne mange gange i streg hos mig. Jeg anset den ikke som kritisk.
Mvh
Kristian Pedersen
| |
Osten (09-08-2001)
| Kommentar Fra : Osten |
Dato : 09-08-01 21:00 |
|
"Kristian Pedersen" <krip-AT-ohkk.dk> wrote in message
news:3b6ff01b$0$233$edfadb0f@dspool01.news.tele.dk...
> > IP_MASQ:reverse ICMP: failed checksum from XXX.XXX.XXX.XXX!
>
> Den plejer oftest at komme når en person bag gateway-maskinen kobler på
> Halflife / Counterstrike og begynder at opdatere listen over servere.
Fejlen
> kommer gerne mange gange i streg hos mig. Jeg anset den ikke som kritisk.
Bruger du en Cisco 677 i forbindelse med din gateway?
Fejlen var der fem gange den femte (13:44, 16:24, 16:25, 16:27, 16:29) og
har ikke været der siden, men der har heller ikke været meget aktivitet på
vores lokale netværk (ud over web-serverens svar på code-red forespørgsler -
de har været der i to forskellige afskygninger ca. hver halve time :)).
Efter hvad jeg kan se af søgninger om emnet er det ikke helt unormalt, men
jeg har ikke forstået præcist hvad det er der sker. Jeg vil være opmærksom
på problemet (hvis det er et problem...) og vende tilbage hvis jeg bliver
istand til at præcisere.
Tak for alle tilbagemeldinger.
| |
|
|