---

Når jeg benytter http://webtrace.uni2.net/ får jeg nogle gange
beskeden i subj. Eksempelvis på min egen side, dbconsult.dk.

Hvad betyder det - og hvorfor sker det?

mvh /Snedker
---
http://dbconsult.dk

---

Morten Snedker skrev:

> Når jeg benytter http://webtrace.uni2.net/ får jeg nogle gange
> beskeden i subj. Eksempelvis på min egen side, dbconsult.dk.

> Hvad betyder det - og hvorfor sker det?

http://www.visualware.com/personal/support/visualroute/faq.html#icmpblocked

"What does "ICMP packets are being blocked past network 'XYZ'"
mean?

A: ICMP packets are what VisualRoute uses to implement the trace
route. Sometimes, usually due to security reasons, a network
blocks ICMP packets, so a trace route into that network is no
longer possible."

---

On Mon, 16 Aug 2004 22:32:20 +0200, Morten Snedker wrote:

> Når jeg benytter http://webtrace.uni2.net/ får jeg nogle gange beskeden
> i subj. Eksempelvis på min egen side, dbconsult.dk.

Det er sandsynligvis fordi firewall-administratoren for din webservers
netværk lider af ICMP-fobi og har lukket for visse eller alle typer ICMP
pakker. Se fx. http://en.wikipedia.org/wiki/ICMP for en forklaring af ICMP.

At lukke for traceroute og lignende netværks-diagnostiske værktøjer
fremmer efter min mening ikke sikkerheden, men kan hæmme fejlfinding; med
andre ord: fjollet. (At lukke for _al_ ICMP værre end fjollet.)

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin skrev:

> Det er sandsynligvis fordi firewall-administratoren for din
> webservers netværk lider af ICMP-fobi og har lukket for visse
> eller alle typer ICMP pakker.

Er der mon visse typer ICMP-pakker man med fordel kan lukke
for på en "hjemme-computer", som ikke yder netværkstjenester
til andre computere? Altså f.eks. en computer med WinXP, som
bare skal have adgang til Internettet med en ADSL-forbindelse.

Jeg har spekuleret på det pga. det her:

<http://scan.sygatetech.com/quickscan.html>
| An ICMP ping request is usually used to test Internet access.
| However, an attacker can use it to determine if your computer
| is available and what OS you are running. This gives him
| valuable information when he is determining what type of
| attack to use against you.

Jeg er sådan set ligeglad med, at de kan se om min computer
er på nettet og hvad mit styresystem hedder, for de kan vel
ikke gøre mig noget, hvis alle porte svarer med 'Closed',
men hvis jeg kunne gøre et eller andet for at lukke af for
nogle for mig unødvendige ICMP-pakker, så gjorde jeg det
da gerne, men det kræver måske den store ledvogtereksamen i
hvordan TCP/IP er skruet sammen?

--
Hilsen
Madsen

---

On Tue, 17 Aug 2004 00:34:59 +0200, Thomas G. Madsen wrote:

> Er der mon visse typer ICMP-pakker man med fordel kan lukke for på en
> "hjemme-computer", som ikke yder netværkstjenester til andre computere?

"Med fordel" er det springende punkt. Masser af folk vil fortælle dig, at
ICMP er åh-så farligt (nok pga. nogle meget gamle denial-of-service
angreb til gamle operativsystemer, der kunne trigges med
særlige ICMP-pakker). Imidlertid er ICMP ikke opfundet for sjov, og hvis
man piller for brutalt, kan det
- gøre netværksproblemer sværere at undersøge
- evt. skabe bizare fejl, hvor kun små pakker kommer igennem:
http://www.sendmail.org/tips/pathmtu.html
- evt. sænke netværksperformance, fordi path MTU discovery
ikke fungerer

> hvis jeg kunne gøre et eller andet
> for at lukke af for nogle for mig unødvendige ICMP-pakker, så gjorde jeg
> det da gerne, men det kræver måske den store ledvogtereksamen i hvordan
> TCP/IP er skruet sammen?

Du vil se talrige forskellige svar, hvis du søger information om emnet;
at vælge kvalificeret blandt disse svar kræver et vist ledvogterniveau,
vil jeg påstå.

Den mest restriktive politik, jeg har set (ud over komplet blokering) er
at blokere alt andet end fragmentation-needed (type 3, kode 4); herved
skulle path MTU discovery i det mindste virke.

Windows har (ligesom de fleste operativsystemer, antagelig) i øvrigt
også ICMP-relaterede indstillinger, man kan skrue på. Googling på ICMP
og noget i stil med registry kan sikkert bringe sager på bordet. Hvis man
altså gider.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:
>
> "Med fordel" er det springende punkt. Masser af folk vil fortælle dig, at
> ICMP er åh-så farligt (nok pga. nogle meget gamle denial-of-service
> angreb til gamle operativsystemer, der kunne trigges med
> særlige ICMP-pakker).

Nu er jeg ikke lige klar over, om det er det her hul
du tænker på:
http://www.insecure.org/sploits/ping-o-death.html
Men udfra din beskrivelse kunne det godt lyde sådan.

Men hvis det er, så har det faktisk ikke noget med
ICMP at gøre. Hullet ligger i IP implementationen,
så angrebet kunne udføres med en vilkårlig protokol
over IP. Man skulle blot sende en passende pakke,
der overtrådte IP standarden på et par punkter.

At ping overhovedet kommer ind i billedet hænger nok
sammen med, at da det blev opdaget var der en fejl i
Windows versionen af ping, som gjorde at den med
passende parametre ville sende sådan en fejlbehæftet
pakke.

I øvrigt tror jeg hullet kunne bruges til mere end
blot et DoS angreb. Det er et regulært bufferoverløb.
De plejer at være forholdsvist nemme at udnytte.

Hvis man vil beskytte sig selv imod dette hul, så er
det ikke ICMP man skal lukke for. Står der overhovedet
i det fejlbehæftede fragment, at det er ICMP, eller
står det kun i det første fragment? Hvis ikke det står
der kunne angrebet udføres uden maskinen nogensinde
opdagede, at det var ICMP.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
http://tinyurl.com/5zm3o

---

Kasper Dupont skrev:

>At ping overhovedet kommer ind i billedet hænger nok
>sammen med, at da det blev opdaget var der en fejl i
>Windows versionen af ping, som gjorde at den med
>passende parametre ville sende sådan en fejlbehæftet
>pakke.

Det lyder nu også bedre med "ping of death" end med "ICMP of
death".

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >At ping overhovedet kommer ind i billedet hænger nok
> >sammen med, at da det blev opdaget var der en fejl i
> >Windows versionen af ping, som gjorde at den med
> >passende parametre ville sende sådan en fejlbehæftet
> >pakke.
>
> Det lyder nu også bedre med "ping of death" end med "ICMP of
> death".

Det har heller ikke noget med ICMP at gøre. Fejlen
ligger jo helt nede på IP laget, så det kun måske
have heddet IP of death. Desuden er et crash jo
ikke det ondeste man kan gøre ved sådan en maskine.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
http://tinyurl.com/5zm3o

---

Den Tue, 17 Aug 2004 00:34:59 +0200 skrev Thomas G. Madsen:
>
> men hvis jeg kunne gøre et eller andet for at lukke af for
> nogle for mig unødvendige ICMP-pakker, så gjorde jeg det
> da gerne, men det kræver måske den store ledvogtereksamen i
> hvordan TCP/IP er skruet sammen?

Lige præcis.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Troels Arvin skrev:

> Masser af folk vil fortælle dig, at ICMP er åh-så farligt (nok
> pga. nogle meget gamle denial-of-service angreb til gamle
> operativsystemer, der kunne trigges med særlige ICMP-pakker).

Altså ikke noget, som er ret aktuelt i nyere operativsystemer,
lyder det til.

> Imidlertid er ICMP ikke opfundet for sjov, og hvis man piller
> for brutalt, kan det
> - gøre netværksproblemer sværere at undersøge
> - evt. skabe bizare fejl, hvor kun små pakker kommer igennem:
> http://www.sendmail.org/tips/pathmtu.html
> - evt. sænke netværksperformance, fordi path MTU discovery
> ikke fungerer

Så er det ikke noget jeg overhovedet orker at pille ved.
Tak for forklaringen.

--
Hilsen
Madsen

---

Troels Arvin wrote:

> On Mon, 16 Aug 2004 22:32:20 +0200, Morten Snedker wrote:
>
>
>>Når jeg benytter http://webtrace.uni2.net/ får jeg nogle gange beskeden
>>i subj. Eksempelvis på min egen side, dbconsult.dk.
>
>
> Det er sandsynligvis fordi firewall-administratoren for din webservers
> netværk lider af ICMP-fobi og har lukket for visse eller alle typer ICMP
> pakker. Se fx. http://en.wikipedia.org/wiki/ICMP for en forklaring af ICMP.
>
> At lukke for traceroute og lignende netværks-diagnostiske værktøjer
> fremmer efter min mening ikke sikkerheden, men kan hæmme fejlfinding; med
> andre ord: fjollet. (At lukke for _al_ ICMP værre end fjollet.)
>

ICMP kan bruges, ikke bare til div. DoS, ping flood angreb osv, men også
i recognonsceringsfasen før et angreb, dvs. ping-sweeping.

Det er trivielt at omgå, og ICMP er ikke nødvendig for at lave div
portscans m.m, men blokering for ICMP er i mine øjne faktisk en type
"security by obscurity", som har en berettigelse. Det holder nogle af de
*rigtig mange* "kiddies" med auto-ping-sweepere og for meget fritid fra
døren...

Ikke mindst kan ICMP bruges til profilering af target OS'et, ref. evt.
Arkin's glimrende researchpaper om emnet her:

http://www.sys-security.com/archive/papers/ICMP_Scanning_v3.0.pdf

/mvh
michael

--
"I don't care what star you're following, get that camel off my front lawn!"
-Anonymous

---

Michael U. Hove skrev:

> Det er trivielt at omgå, og ICMP er ikke nødvendig for at lave
> div portscans m.m, men blokering for ICMP er i mine øjne
> faktisk en type "security by obscurity", som har en
> berettigelse. Det holder nogle af de *rigtig mange* "kiddies"
> med auto-ping-sweepere og for meget fritid fra døren...

Jamen hvad kan de reelt gøre af skade på et system, som kun
svarer på ICMP-pakker og på alle andre punkter blot svarer med
'Port Closed'? Kan de f.eks. få et system til at gå ned med
deres auto-ping-sweepere, eller kan de bryde ind i det ene
og alene vha. ICMP-protokollen?

--
Hilsen
Madsen

---

Thomas G. Madsen wrote:

> Jamen hvad kan de reelt gøre af skade på et system, som kun
> svarer på ICMP-pakker og på alle andre punkter blot svarer med
> 'Port Closed'? Kan de f.eks. få et system til at gå ned med
> deres auto-ping-sweepere, eller kan de bryde ind i det ene
> og alene vha. ICMP-protokollen?

Man kan ihvertfald lave de indledende øvelser...en decideret
kompromittering, kun med brug af ping, er mig bekendt umuligt, det ville
være rent science-fiction, hvis det kunne lade sig gøre, men jeg er ikke
programmør, ell. et "evil hacker genius", så hvem ved...?!

ICMP bruges som sagt primært til host detection og OS fingerprinting;
ligesom med TCP og IP adskiller ICMP implementeringen sig på de forsk.
OS'er, og dette kan udnyttes til at lave et "kvalificeret gæt" på,
hvilket OS, der kører på hosten, man sender ICMP pakker til.

Selvom det er en moppedreng på 220 sider er den pdf, jeg linkede til
rigtig interessant læsning omkring bl.a. OS-fingerprinting via ICMP
pakke-signaturer. Jeg kan kun anbefale den:

http://www.sys-security.com/archive/papers/ICMP_Scanning_v3.0.pdf

/mvh
michael

--
"I don't care what star you're following, get that camel off my front lawn!"
-Anonymous

---

Den Tue, 17 Aug 2004 21:55:02 +0200 skrev Michael U. Hove:
>
> ICMP bruges som sagt primært til host detection og OS fingerprinting;

Forkert. ICMP er Internet Control Message Protocol, og bruges primært
til at sende kontrol-beskeder som fx "send lige lidt mindre ad
gangen" (would fragment), "den maskine er altså slukket" (host
unreachable) og "nope, ingen server her" (port unreachable).

At nogen så har fundet på at bruge det til host detection og
OS fingerprinting gør det ikke til den primære brug.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

> Den Tue, 17 Aug 2004 21:55:02 +0200 skrev Michael U. Hove:
>
>>ICMP bruges som sagt primært til host detection og OS fingerprinting;
>
>
> Forkert. ICMP er Internet Control Message Protocol, og bruges primært
> til at sende kontrol-beskeder som fx "send lige lidt mindre ad
> gangen" (would fragment), "den maskine er altså slukket" (host
> unreachable) og "nope, ingen server her" (port unreachable).
>
> At nogen så har fundet på at bruge det til host detection og
> OS fingerprinting gør det ikke til den primære brug.

Rolig nu, vi er vel alle venner...snup en kølig

Come on Kent...tror du seriøst ikke, at jeg ved hvad ICMP bruges til
efter i to posts af have henvist til en 220 siders afhandling om ICMP?!

Omskrivning af ovenstående for prins Knud:

"I *cracking sammenhæng* bruges ICMP primært til host detection og OS
fingerprinting."

Hvis jeg skal være ligeså benhård som du, får du heller ikke en "port
unreachable" fra ICMP, men en "destination unreachable".

ICMP er en del af IP, der ikke aner en disse om porte, hvilket TCP
derimod gør. Hvis du får en "port unreachable" fra en ICMP request, har
enten du selv, eller manden/kvinden der skrev din netværksstack været på
svampe-jagt først.

Fra http://www.faqs.org/rfcs/rfc792.html

Summary of (ICMP) Message Types

0 Echo Reply

3 Destination Unreachable

4 Source Quench

5 Redirect

8 Echo

11 Time Exceeded

12 Parameter Problem

13 Timestamp

14 Timestamp Reply

15 Information Request

16 Information Reply

Så nu er vi kvit

/mvh
michael

--
"I don't care what star you're following, get that camel off my front lawn!"
-Anonymous

---

On 2004-08-18, Michael U. Hove <pots_72@e-mail.dk> wrote:
>
> Hvis jeg skal være ligeså benhård som du, får du heller ikke en "port
> unreachable" fra ICMP, men en "destination unreachable".
[...]
> Summary of (ICMP) Message Types
[...]
> 3 Destination Unreachable

Type 3 (Destination Unreachable), Code 3 (Port Unreachable) - så jo -
ICMP kan godt sende port unreachable.
Læs side 4 i RFC 792.

--
Andreas Plesner Jacobsen | Know what I hate most? Rhetorical questions.
|    -- Henry N. Camp

---

Andreas Plesner Jacobsen wrote:
>
> Type 3 (Destination Unreachable), Code 3 (Port Unreachable) - så jo -
> ICMP kan godt sende port unreachable.
> Læs side 4 i RFC 792.

Ja, og det er den man får hvis man sender en pakke
til en lukket UDP port. TCP har derimod sin egen
måde at melde om en lukket port og bruger altså ikke
ICMP til formålet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
http://tinyurl.com/5zm3o

---

Den Wed, 18 Aug 2004 07:13:33 +0200 skrev Michael U. Hove:
> Kent Friis wrote:
>
>> Den Tue, 17 Aug 2004 21:55:02 +0200 skrev Michael U. Hove:
>>
>>>ICMP bruges som sagt primært til host detection og OS fingerprinting;
>>
>>
>> Forkert. ICMP er Internet Control Message Protocol, og bruges primært
>> til at sende kontrol-beskeder som fx "send lige lidt mindre ad
>> gangen" (would fragment), "den maskine er altså slukket" (host
>> unreachable) og "nope, ingen server her" (port unreachable).
>>
>> At nogen så har fundet på at bruge det til host detection og
>> OS fingerprinting gør det ikke til den primære brug.
>
> Rolig nu, vi er vel alle venner...snup en kølig

Ikke hvis det kræver at man er på samme rusmidler som dig :-/

> Come on Kent...tror du seriøst ikke, at jeg ved hvad ICMP bruges til
> efter i to posts af have henvist til en 220 siders afhandling om ICMP?!

Det så det absolut ikke ud til.

> Omskrivning af ovenstående for prins Knud:
>
> "I *cracking sammenhæng* bruges ICMP primært til host detection og OS
> fingerprinting."

Nå ja, "I mord-sammenhæng bruges biler primært til at køre folk ned med" -
der er stor forskel på det og så "Biler bruges primært til at køre
folk ned med".

> Hvis jeg skal være ligeså benhård som du, får du heller ikke en "port
> unreachable" fra ICMP, men en "destination unreachable".

Både og...

- Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 3 (Port unreachable)
Checksum: 0xfb19 (correct)

(fra Ethereal)

> ICMP er en del af IP, der ikke aner en disse om porte, hvilket TCP
> derimod gør. Hvis du får en "port unreachable" fra en ICMP request, har
> enten du selv, eller manden/kvinden der skrev din netværksstack været på
> svampe-jagt først.

Jeg ved ikke lige hvor du får svampene fra... Men:

Hvis man sender en UDP-pakke til en port hvor der ikke er nogen server
(daemon i unix-terminologi) der lytter, vil host'en svare tilbage
med Port unreachable som ovenfor.

> Fra http://www.faqs.org/rfcs/rfc792.html
>
> Summary of (ICMP) Message Types

Lidt længere oppe i samme RFC:

--------------------
ICMP Fields:

Type

3

Code

0 = net unreachable;

1 = host unreachable;

2 = protocol unreachable;

3 = port unreachable;

4 = fragmentation needed and DF set;

5 = source route failed.
--------------------

Læg mærke til 3'eren.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

>>Rolig nu, vi er vel alle venner...snup en kølig
>
>
> Ikke hvis det kræver at man er på samme rusmidler som dig :-/

Ok, den havde jeg fortjent...

>>Come on Kent...tror du seriøst ikke, at jeg ved hvad ICMP bruges til
>>efter i to posts af have henvist til en 220 siders afhandling om ICMP?!
>
>
> Det så det absolut ikke ud til.

Jeg skulle åbenbart have læst mit eget pdf-link *een* gang til...så
havde jeg også opdaget en meget fin beskrivelse af UDP port scans, der
returnerer en ICMP type 3 code 3, hvis porten er lukket ... DAMN!

>>Omskrivning af ovenstående for prins Knud:
>>
>>"I *cracking sammenhæng* bruges ICMP primært til host detection og OS
>>fingerprinting."
>
>
> Nå ja, "I mord-sammenhæng bruges biler primært til at køre folk ned med" -
> der er stor forskel på det og så "Biler bruges primært til at køre
> folk ned med".

Du har ret, det var en smutter, ovenstående forsøg på en bortforklaring
var da ellers et pænt forsøg, synes jeg!

>>Hvis jeg skal være ligeså benhård som du, får du heller ikke en "port
>>unreachable" fra ICMP, men en "destination unreachable".
>
>
> Både og...
>
> - Internet Control Message Protocol
> Type: 3 (Destination unreachable)
> Code: 3 (Port unreachable)
> Checksum: 0xfb19 (correct)
>
> (fra Ethereal)

Your kung-fu is mighty...

>>ICMP er en del af IP, der ikke aner en disse om porte, hvilket TCP
>>derimod gør. Hvis du får en "port unreachable" fra en ICMP request, har
>>enten du selv, eller manden/kvinden der skrev din netværksstack været på
>>svampe-jagt først.
>
>
> Jeg ved ikke lige hvor du får svampene fra... Men:

Jeg skulle måske have snuppet nogen selv, før jeg svarede...

> Hvis man sender en UDP-pakke til en port hvor der ikke er nogen server
> (daemon i unix-terminologi) der lytter, vil host'en svare tilbage
> med Port unreachable som ovenfor.
>
>
>>Fra http://www.faqs.org/rfcs/rfc792.html
>>
>>Summary of (ICMP) Message Types
>
>
> Lidt længere oppe i samme RFC:
>
> --------------------
> ICMP Fields:
>
> Type
>
> 3
>
> Code
>
> 0 = net unreachable;
>
> 1 = host unreachable;
>
> 2 = protocol unreachable;
>
> 3 = port unreachable;
>
> 4 = fragmentation needed and DF set;
>
> 5 = source route failed.
> --------------------
>
> Læg mærke til 3'eren.
>
> Mvh
> Kent

Jamen hvad *kan* jeg sige: kun 2 ting.

1. Kæphøjhed og arrogance klæder alle dårligt, særligt når de tager fejl.

2. Jeg bøjer mig derfor i støvet og bukker undskyldende offentligt.

Moralen i denne tråd må for mit vedkommende være:

A. Lad være med at svare i NG's, 5 min. efter du er stået op...

B. Hvis du ikke er 100% sikker på dit stof, så STFU...

/respekt
michael

--
"I don't care what star you're following, get that camel off my front lawn!"
-Anonymous

---

Michael U. Hove wrote:

> B. Hvis du ikke er 100% sikker på dit stof, så STFU...

Eller i hvert fald give det til kende at man ikke gør og respektere hvis
andre rette en selv. Det er jo også en måe at lære på. :)

--
Anders Lund - anders@andersonline.dk

---

Den Thu, 19 Aug 2004 16:50:04 +0200 skrev Michael U. Hove:
> Kent Friis wrote:
>
>>>Rolig nu, vi er vel alle venner...snup en kølig
>>
>>
>> Ikke hvis det kræver at man er på samme rusmidler som dig :-/
>
> Ok, den havde jeg fortjent...

Jeg tror faktisk du misforstod den... Det var ikke en upæn kommentar
om din manglende viden om de fine detaljer i ICMP, jeg er blot træt af
at danskernes generelle opfattelse af at man ikke kan nyde livet uden
alkohol.

>>>Omskrivning af ovenstående for prins Knud:
>>>
>>>"I *cracking sammenhæng* bruges ICMP primært til host detection og OS
>>>fingerprinting."
>>
>>
>> Nå ja, "I mord-sammenhæng bruges biler primært til at køre folk ned med" -
>> der er stor forskel på det og så "Biler bruges primært til at køre
>> folk ned med".
>
> Du har ret, det var en smutter, ovenstående forsøg på en bortforklaring
> var da ellers et pænt forsøg, synes jeg!

Men det går hurtigt galt hvis folk begynder at tro at ICMP primært
bruges til slemme ting, og så lukker for det. Det giver enorme
problemer, hvilket især folk med en PPPoE router har måttet konstatere,
når de forsøger at kommunikere med nogen der sidder bag en firewall
der blokerer al ICMP.

(PPPoE har en ekstra header, som gør pakkerne en smule mindre, hvilket
medfører en lavere PMTU end normalt, og dette indikeres ved at PPPoE
routeren sender en ICMP would fragment tilbage. Hvis firewall'en dropper
denne, bliver maskinen bag firewall'en blot ved med at sende for store
pakker, og routeren bliver ved med at svare tilbage med ICMP would
fragment).

> Jamen hvad *kan* jeg sige: kun 2 ting.
>
> 1. Kæphøjhed og arrogance klæder alle dårligt, særligt når de tager fejl.
>
> 2. Jeg bøjer mig derfor i støvet og bukker undskyldende offentligt.
>
> Moralen i denne tråd må for mit vedkommende være:
>
> A. Lad være med at svare i NG's, 5 min. efter du er stået op...
>
> B. Hvis du ikke er 100% sikker på dit stof, så STFU...
>
> /respekt

I lige måde. Jeg er imponeret. Du er bedre til at indrømme når du tager
fejl end jeg er.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Michael U. Hove skrev:

> Man kan ihvertfald lave de indledende øvelser...en decideret
> kompromittering, kun med brug af ping, er mig bekendt umuligt,
> det ville være rent science-fiction, hvis det kunne lade sig
> gøre, men jeg er ikke programmør, ell. et "evil hacker
> genius", så hvem ved...?!

Nej, man skal jo nok selvfølgelig aldrig sige aldrig.

> ICMP bruges som sagt primært til host detection og OS
> fingerprinting; ligesom med TCP og IP adskiller ICMP
> implementeringen sig på de forsk. OS'er, og dette kan udnyttes
> til at lave et "kvalificeret gæt" på, hvilket OS, der kører på
> hosten, man sender ICMP pakker til.

Og det er så muligt at jeg ser lidt for letsindigt på det, men
hvis de ikke kan lave andet end at kontrollere hvilket OS jeg
kører med, så må de for min skyld gerne gøre det.

Jeg vil pløje PDF'en igennem engang når det bliver vinter. :)

--
Hilsen
Madsen

---

Troels Arvin skrev:

> Den mest restriktive politik, jeg har set (ud over komplet
> blokering) er at blokere alt andet end fragmentation-needed
> (type 3, kode 4); herved skulle path MTU discovery i det
> mindste virke.

I WinXP SP2' firewall (og muligvis også i den der følger med til
tidligere versioner af XP), har man mulighed for at tillade visse
former for ICMP-trafik. Måske var det ligefrem en fordel at have
firewallen tændt alene af den grund, men jeg kan dog ikke finde
en indstilling, som har noget med 'fragmentation-needed' at gøre.

Mulighederne kan ses her:
<http://home18.inet.tele.dk/madsen/winxp/sp2/icmp_settings.png>.

Jeg ønsker mest af alt at køre uden firewallen, da jeg er træt af
ting som måske ikke virker efter hensigten fordi vigtig trafik
bliver blokeret, men er der mon noget i ICMP-indstillingerne som
man med fordel kan tillade for at undgå den slags problemer og
ting som man med fordel kan blokere for, for at hæve sikkerheden
eller er det umuligt at svare på fordi det kommer an på så meget?

--
Hilsen
Madsen