在ICMP包中检测到隐密通道漏洞

FOUNT.INK

IP 目标 是德国  http://www.cfos.de/zh-cn/index.htm  怎么回事哦 求解答

lbb9432

是不是开了p2p软件比如迅雷？  是不是用了金山卫士或者毒霸？   拦截了就没问题  

浮生半日闲

我也是如此 装了金山卫士和毒霸 更新和查杀时 就会出现  这个怎么回事？要紧不？

一直提示 eset 就这点不是很人性化 不能自由选择弹窗显示与否 要么都显示 要么不显示  卡巴就可以

mb147258

不要紧

FOUNT.INK

lbb9432 发表于 2012-6-30 21:44
是不是开了p2p软件比如迅雷？  是不是用了金山卫士或者毒霸？   拦截了就没问题

今天刚新装的系统  安装完ESET 就出现这种情况。。。

FOUNT.INK

浮生半日闲 发表于 2012-6-30 21:49
我也是如此 装了金山卫士和毒霸 更新和查杀时 就会出现  这个怎么回事？要紧不？

一直提示 eset 就这点不 ...

新系统什么 还都没来的及装哦。。。

陌路夕颜

全盘杀一次

kakenhi

我来科普一下
当一个程序建立TCP连接时，发TCP包。建立UDP连接时，发UDP包，这两种数据包是用来通信的。而ICMP包不是用来通信，而是用于网络控制的。比如说，ICMP 8数据包是Ping请求，当你ping一台主机时，就会发送这种数据包，而被ping的主机返回ICMP 0，来回复你的ping。
虽说ICMP包不是用来通信，但还是可以包含数据。比如说windows的ping.exe发出的ICMP包中包含"ABCDEFGHIJKLMNOPQRSTUVWXYZ"。有的黑客利用这点，使木马程序把数据夹带在ICMP包中，进行通信。这种通信使用原始SOCKET完成，直接绕过windows内核的连接管理机制，所以当你用安全软件查看本机连接时，看不到木马程序创建的任何连接
而ESET的防火墙，使用了一种叫“信息熵过滤”的方法来检查ICMP包。“信息熵”就是指这个包中含有的数据的多少。如果你在ICMP包内填写诸如"AAAAAAAAAA"、".............."等内容时，由于信息熵很小，所以会被放行。但如果填写一句话、一个命令，或一段文件的数据时，则会因为信息熵太大，被ESET过滤掉。这时，就会显示LZ图上的这种警告。
如果LZ怀疑ICMP包有问题，可以安装Wireshark之类的封包查看器，检查ICMP包(先关掉ESET防火墙不然收不到)。正常的ICMP包应该包含诸如字母A~Z、或者全部填0等。如果你的电脑发出/收到了很多个ICMP包，而且这些ICMP包的数据看起来很杂乱，并且每个包的数据都不相同，那就有问题了。

kakenhi

我去怎么又要审核，平时都潜水的人发篇帖子容易吗
要不是人家研究的ICMP SOCKET一直被各种防火墙挡掉，准备放弃了，不然才不会告诉你们呢。

lbb9432

FOUNT.INK 发表于 2012-6-30 22:39
今天刚新装的系统  安装完ESET 就出现这种情况。。。

难道你装过这个cFosSpeed 软件？   还有就是全盘扫描一下病毒  比如NPE什么的