# ICMP-Traffic



## haldjo1 (9. August 2010)

Nach längerer bzw. sehr langer Auszeit hier hab ich mal wieder ne brandheiße frage.

Mein Laptop versendet seit einiger Zeit sobald es in ein Netzwerk eingebunden wird unmengen ICMP-Pings, womit es das diese Netzwerke teilweise fast komplett lahmlegt.

Das ist nicht nur ärgerlich für mich, sondern natürlich auch für alle anderen am Netzwerk beteiligten. 

Bislang konnte ich noch nicht herausfinden woraus diese Unmengen ICMP-Traffig resultieren, oder wie ich sie Unterbinden kann. Ich hab bisher weder Viren oder Würmer oder sonst etwas derartiges gefunden.

Leider muss ich zugeben dass ich in dem Bereich auch nicht mehr ganz up to date bin, und daher für jede Hilfe dankbar.

Gruß Jo


----------



## Matt297 (9. August 2010)

Hmm, soweit ich weiß ist ICMP nicht gerade das beste Protokoll um Schaden anzurichten.
Die einzigen Möglichkeiten sind eigentlich ein Ping of Death, der eigentlich schon auf keinem System mehr Schaden anrichten kann/können sollte, dann wär da noch ein DoS wie du ihn beschrieben hast, wobei das mit ICMP auch nicht gerade die beste Lösung ist.
Dann wär da noch ne möglichtkeit per ICMP Redirects einzurichten, das würde aber auf Router-Ebene geschehen und außerdem braucht es da keine ICMP-Flut sondern nur ein paar spezielle Requests und potentielle Sicherheitslücken sind da auch schon geschlossen.
Du solltest dir mal so eine ICMP-Nachricht genauer angucken, es muss nicht unbedingt ein Ping sein, ICMP hat auch noch andere Sachen(der Redirect auf Schicht-3-Ebene z.B.). Am besten du guckst dir das mal mit nem Netzwerk-Sniffer wie Wireshark an. Solange du das in deiner eigenen Umgebung verwendest, ist das legal. Mit Wireshark kannst du die Packete dann anhand von vielen verschiedenen Kriterien filtern(Port,IP,Protokoll - Hey!) und anzeigen lassen.
In dem Zusammenhang wäre es auch interessant zu wissen, welches OS du verwendest.

Gruß
Matt


----------



## haldjo1 (10. August 2010)

Danke für die schnelle Antwort, es sind tatsächlich ICMP-Pings die permanent an die gleichen drei IP's gehen. Diese gehören anscheinend einer Firma namens "Protected Solution ltd." und sind in Moskau registriert, allerdings hat die Firma ihren Sitz wohl auf den Seychellen... recht dubios.
Jedoch scheinen diese IP's mit kino.to im Zusammenhang zu stehen.

offenbar hab ich mir tatsächlich was eingefangen, die Frage ist jetzt was es ist, wie ich es finde, und vor allem wie ich es wieder loswerde.

Bin für alle Tipps dankbar! Achja: mein OS ist XP home, und nein ich werde nicht zu linux wechseln


----------



## Matt297 (10. August 2010)

Hey, dann sind die Pings selbst wahrscheinlich nicht direkt bedrohlich, sondern eher wahrscheinlich "Statusmeldungen" von Schadsoftware.
Keine Sorge, auch wenn ich überzeugter Linux-Nutzer bin, werde ich meine Meinung niemanden aufdringen, die Erleuchtung muss von alleine kommen (Achtung leichte Ironie  ). Womit hast du das jetzt herausgefunden? Mit Wireshark? Damit kann man glaub ich nicht herausfinden, welcher Prozess den Traffic generiert.

Du könntest jetzt entweder deinen kompletten Rechner durchscannen, oder auf die Suche gehen. Es gibt ne Menge Tools, die dir anzeigen welches Prozess mit wem und wie kommuniziert. Konkret kann ich dir für Windows jetzt nur die kostenlose Firewall von Comodo(Comodo Internet Security) nennen, da kann man sich solche Informationen anzeigen lassen, leider ohne viele Details, weil es nur ne Firewall ist. Ein spezialisiertes Tool dafür hab ich jetzt nicht in der Hand, müsstest du mal googlen.
Wenn du dann erstmal die Prozess-Bezeichnung hast ist die Identifizierung und Lokalisierung des Schädlings ein Leichtes, die Frage ist nur, ob er sich leicht entfernen lässt, da würde ich es als erstes einfach mal mit nem Virenscanner und/oder Anti-Spyware Software versuchen. Sollte das fehlschlagen(intelligente Schadsoftware) müsstes du das mal mit Online-Scannern versuchen, die lassen sich nicht korrumpieren.

Gruß
Matt


----------



## haldjo1 (11. August 2010)

das was ich wusste hab ich mit wireshark herausgefunden.
nachdem ich jetzt comodo installiert habe ist der verkehr zumindest unterdrückt, auch wenn comodo nicht mal den versuch erhöhten ICMP traffics meldet.
könnte es sein dass der entsprechende Prozess in der Sandbox läuft und daher keine Probleme mehr verursacht?
Die Ursache ist damit zwar noch nicht gefunden, die Auswirkungen sind jedoch zumindest vorübergehend aufgehoben.

Danke für die Hilfe, ich werde berichten sobald ich die Ursache gefunden hab.


----------

