Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: RevizoB 25. 08. 2016, 13:42:06
-
Mám na windows 7 firewall který mě blokuje pink a tracert ale nevím jaký je to proces rozhodně to není cmd.exe :-D
ví to někdo ?
-
To evim, ale na Widlofirewall se snad da nejak doklikat pres to jejich security centrum a tam se to pak povoli. Take lze nainstalovat jiny firewall, ktery se chova zpusobem mene hovezim, napriklad verzi zdarma ZoneAlarm a ten se v ucicim modu vzdy pta, jestli ma danou aplikaci pustit ven nebo ne a jestli si to ma pamatovat. Existuji dalsi, dokonce i zdarma, ale ZoneAlarm mi pripada nejjedodussi pro uzivatele, kteri se s tim nechteji moc srat.
BTW, je dobrym zvykem cist, jaka aplikace se to snazi dostat ven. Spousta lidi s klidem bez cteni odklika uplne vsechno, s klidem i f56722424.exe a pak se divi, proc je ISP odpojil od Intenetu za sireni spamu.
-
A k čemu to potřebuješ? :-D (nezlobte se na mne, ale na takovou otázku jinak odpovědět nemohu)
-
...
Naprosto nikdy se to nepta, pokud de o systemovou appku. Takze je ti to naprosto nanic.
2RevizoB: Jestli ti de o to, ze tvuj stroj neodpovi na ping, tak to je u M$ bezna vec, a to pravidlo ve widlich se menuje "Sdílení souborů a tiskáren (Požadavek na odezvu - ICMPv4-In)". Sice to se sdilenim souboru a tiskaren nema nic spolecnyho ... ale to je u M$ taky normalka. Povolis a na ping odpovi.
Jo, je tam prosychr 3x, tak se nelekni ... pokazdy pro jinej profil (zalezi jakou z tech kravin mas nastavenou).
Jestli ti de o to, ze tvuj stroj nemuze nikam pingnout, tak se to menuje "Sdílení souborů a tiskáren (Požadavek na odezvu - ICMPv4-Out)" ... dtto
Ja se k tomu dostanes ... Ovládací panely\Systém a zabezpečení\Brána Windows Firewall ... Upresnit nastaveni ... Prichozi nebo Odchozi, podle toho co chces.
Pokud chces i IPv6, tak dtto. Jen si mozna ty pravidla budes muset vytvorit.
-
Omlouvám se, pokud sem nepochopul otázku:
ICMP echo request neznáte? Windows Firewall je v základu blokuje (jedním z důvodů je asi bezpečnost). Sdílení souborů je povolí automaticky - a je to podle mě logické.
Povolte si icmp echo request:
http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/how-to-enable-ping-response-in-windows-7/5aff5f8d-f138-4c9a-8646-5b3a99f1cae6 (http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/how-to-enable-ping-response-in-windows-7/5aff5f8d-f138-4c9a-8646-5b3a99f1cae6)
Předpokládám, že vám jde o to pingnout váš stroj (zvenčí), nikoliv pingnout se ven, protože v základu echo-reply blokován není. Pokud vám jde o ping ven s tím, že se vám nedostavá odpověď, tak je vhodné hodit sem tracert výstup, ať se ví, kde se to zařízne.
-
ICMP echo request neznáte? Windows Firewall je v základu blokuje (jedním z důvodů je asi bezpečnost). Sdílení souborů je povolí automaticky - a je to podle mě logické.
Jo, to je urcite logicky ... kdyz to spolu nijak nesouvisi, a s bezpecnosti uz vubec ne, nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...
-
ICMP echo request neznáte? Windows Firewall je v základu blokuje (jedním z důvodů je asi bezpečnost). Sdílení souborů je povolí automaticky - a je to podle mě logické.
Jo, to je urcite logicky ... kdyz to spolu nijak nesouvisi, a s bezpecnosti uz vubec ne, nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...
Jo k tomu bych se taky připojil. A co je teda na tom ICMP reply tak nebezpečného, že ho Windows Firewall blokuje ve výchozím stavu? :D
-
Jo k tomu bych se taky připojil. A co je teda na tom ICMP reply tak nebezpečného, že ho Windows Firewall blokuje ve výchozím stavu? :D
Treba maj v implementaci ICMP tolik bugu, ze to radsi zakazali.
-
Jo k tomu bych se taky připojil. A co je teda na tom ICMP reply tak nebezpečného, že ho Windows Firewall blokuje ve výchozím stavu? :D
Treba maj v implementaci ICMP tolik bugu, ze to radsi zakazali.
To se ale pak divím, že jiné věci povolili :D
-
... nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...
RFC je jedna vec, praxe druha. Typicky ADSL router na ping z Internetu neodpovida. Widle s firewallem stylu ZoneAlarm pripojene primo pres modem v defaultni konfiguraci neodpovidaji take. Co v takovem zapojeni dela standardni widlofirewall ale netusim. Vzhledem k tomu, ze Widle 95 na ping z venku odpovidaly i pote, co odevzdaly DHCP lease, tak mozne je vsechno.
-
Podle me treba ve vychozim stavu ping blokujou wokenice proto, aby se utocnik nedozvedel, zdali stroj zije nebo nezije... take pri DDOS utoku pak neni mozne diagnostikovat, jestli to uz lehlo nebo jeste ne... nic jineho mne nenapada, proc by se to delalo...
-
Tak dela se to asi proto, aby utocnik nemel snadnou cestu, jak se dozvedet, ze na ane adrese je neco, na co se da utocit a nedej boze si treba udelat fingerprint a tipnout, jaky OS tam jede. Pri tom, jak jsou routery i Widle derave, je to tak asi lepsi, i kdyz proti RFC.
-
... nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...
RFC je jedna vec, praxe druha. Typicky ADSL router na ping z Internetu neodpovida. Widle s firewallem stylu ZoneAlarm pripojene primo pres modem v defaultni konfiguraci neodpovidaji take. Co v takovem zapojeni dela standardni widlofirewall ale netusim. Vzhledem k tomu, ze Widle 95 na ping z venku odpovidaly i pote, co odevzdaly DHCP lease, tak mozne je vsechno.
Tak tam to s tou bezpečností chápu. Z Internetu pingem a odpověďmi zabiju buď tu linku nebo ten router nebo oboje. To se nedá srovnávat. Navíc směrem do Internetu to chápu jako opatření na firewallu. Ale ten samý router zevnitř sítě naopak na ping odpovídá. Windowsy ne. Takže to je nesrovnatelná situace.
-
Podle me treba ve vychozim stavu ping blokujou wokenice proto, aby se utocnik nedozvedel, zdali stroj zije nebo nezije... take pri DDOS utoku pak neni mozne diagnostikovat, jestli to uz lehlo nebo jeste ne... nic jineho mne nenapada, proc by se to delalo...
LOL! To jakože útočníka něco takového může zastavit? Nebo alespoň zpomalit? :D Co to je za útočníka, kterého takové opatření zastaví nebo alespoň zpomalí? Děcka ze školky? :D
Mě napadá, že to dělá pro to, aby si uživatel těch Windows myslel, že je chráněn. Proto to dali do nastavení sdílení souborů a tiskáren. Hele uživateli jaký máš skvělý firewall ve woknech! Po jeho zapnutí se na stroj nikdo nepingne. BFU houby vědí, že to žádné bezpečnostní opatření vlastně není. Výsledek vidí, tak jsou "relativně" spokojení. Jsou toho plné diskuze. Psychologie...
-
Tak dela se to asi proto, aby utocnik nemel snadnou cestu, jak se dozvedet, ze na ane adrese je neco, na co se da utocit a nedej boze si treba udelat fingerprint a tipnout, jaky OS tam jede. Pri tom, jak jsou routery i Widle derave, je to tak asi lepsi, i kdyz proti RFC.
Ony ostatní cesty jak zjistit že ten stroj žije jsou nesnadné? To jakože útočník co se umí vlomit do Windows je bez pingu a traceroute bezradný? No to je spíš pro tebe pocit bezpečí bezradného uživatele Windows :D
-
Tak kdyz mas vsechny porty stealth a neodpovi ti ani ping, jak zjistis, ze tam mas utocit? Vselijake botnety oblezaji Internet a pingaji nebo zkusi par spojeni na ssh ci jine zname porty a kdyz neuspeji, jdou o dum dal. Pritom se na takove adrese, co dela mrtveho brouka, skryva treba pekne velka sit se silnou konektiviitou.
-
Tak kdyz mas vsechny porty stealth a neodpovi ti ani ping, jak zjistis, ze tam mas utocit? Vselijake botnety oblezaji Internet a pingaji nebo zkusi par spojeni na ssh ci jine zname porty a kdyz neuspeji, jdou o dum dal. Pritom se na takove adrese, co dela mrtveho brouka, skryva treba pekne velka sit se silnou konektiviitou.
Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat :D.
Samozřejmě jiná situace je když by se chtěl útočník vlomit do Woken v domácnosti v ČR ze zahraničí a jiná, když jste místní provider či uživatel stejné části sítě nebo ještě lépe úplně stejné sítě. Dalo by se o tom vykládat hodiny a hodiny.
-
Mám Windows 7 a používám Windows Firewall Control.
Ten blokuje odchozí ping ven např. ping www.seznam.cz
(Když chce nějaký program komunikovat OUT dostanu zprávu jestli chci toto spojení povolit nebo blokovat)
Ale u pingu to jaksi neplatí.
Zkoušel jsem WFC vypnout a otestovat ping (Ping normálně fungoval)
Bohužel nevidím nic že by ve WFC bylo něco blokováno co by mělo dočinění s Pingem...
Díky "J" jsem ale našel tohle:
(https://ctrlv.cz/shots/2016/08/26/hHrw.png)
Je to sice povolené ale pravidlo je asi neaktivní jak ho mám aktivovat? (nikde tuto možnost nevidím)
-
To se ale pak divím, že jiné věci povolili :D
Jo, asi tak nejak, zajimavy je, ze ve vychozim stavu je otevrenych spousta "stovkovych" portu, deravych jak reseto (a nejde to nijak rozumne vypnout) ... ale na ping to neodpovi.
Podle me treba ve vychozim stavu ping blokujou wokenice proto, aby se utocnik nedozvedel, zdali stroj zije nebo nezije... take pri DDOS utoku pak neni mozne diagnostikovat, jestli to uz lehlo nebo jeste ne... nic jineho mne nenapada, proc by se to delalo...
Jasne, ono totiz na widlich vubec neni v defaultu otevreno asi 10 portu, takze vubec nestaci poslat neco na ne ...
-
Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace.
Vy asi předpokládáte útočníka z místního segmentu sítě, což je ovšem silné zjednodušení situace. Broadcasty zařízne první směrovač a dostat se komunikaci, která probíhá bokem od Vás, není jednoduché, zejména pokud je síť dobře spravovaná a má-li se to udělat reálně, ne jen kolem toho teoretizovat. Pokud chcete odhalit existenci vzdáleného uzlu, musíte z něj dostat nějakou odezvu, a ping je první volba.
-
Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat :D.
Tak jiste, ja si zive predstavuju ta zapachajici podzemni doupata, kde se mdle osvetleni tezce prodira pochmurnymi oblaky opioveho dymu, nekde v Cine nebo Severni Korei, jak tam sedi stado hackeru a snifuji broadcasty z mych Widli, ktere se k nim nikdy nedostanou, pokud tedy Widle jsou tak blbe, ze ty broadcasty posilaji i do Internetu. Nehlede na to, ze typicke Widle jsou za nejakym ADSL touterem a jiz ten ty broadcasty asi utne.
Samozřejmě jiná situace je když by se chtěl útočník vlomit do Woken v domácnosti v ČR ze zahraničí a jiná, když jste místní provider či uživatel stejné části sítě nebo ještě lépe úplně stejné sítě. Dalo by se o tom vykládat hodiny a hodiny.
Coz je presne ta situace, o ktere je tu celou dobu rec. Plizivy unik MS broadcastu na nepratelske uzemi nikdo nepredpokladal.
@RevizoB: A neni v tom Windows Firewall Control take nejake pravidlo pro ICMP Echo Request a ICMP Echo Reply? Me nejak unika souvislost mezi ping a nejakym majkrosoftim sdilenim souboru a tiskaren. Samozrejme, ve Widlich je mozne uplne vsechno.
-
...
Je to sice povolené ale pravidlo je asi neaktivní jak ho mám aktivovat? (nikde tuto možnost nevidím)
Klipnes na to pravym ... a das povolit.
-
Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace.
Vy asi předpokládáte útočníka z místního segmentu sítě, což je ovšem silné zjednodušení situace. Broadcasty zařízne první směrovač a dostat se komunikaci, která probíhá bokem od Vás, není jednoduché, zejména pokud je síť dobře spravovaná a má-li se to udělat reálně, ne jen kolem toho teoretizovat. Pokud chcete odhalit existenci vzdáleného uzlu, musíte z něj dostat nějakou odezvu, a ping je první volba.
No ono to téma vypnutého pingu tak nějak předpokládá lokálního útočníka, protože za prvním NATem je příchozí ping stejně na tu mašinu unavailable, že? :) Pingat jde vždy jen při přímém spojení na ten stroj.
-
Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat :D.
Tak jiste, ja si zive predstavuju ta zapachajici podzemni doupata, kde se mdle osvetleni tezce prodira pochmurnymi oblaky opioveho dymu, nekde v Cine nebo Severni Korei, jak tam sedi stado hackeru a snifuji broadcasty z mych Widli, ktere se k nim nikdy nedostanou, pokud tedy Widle jsou tak blbe, ze ty broadcasty posilaji i do Internetu. Nehlede na to, ze typicke Widle jsou za nejakym ADSL touterem a jiz ten ty broadcasty asi utne.
1. PING na tu mašinu za natem router utne určitě
2. Hodně by jste se divili, kdyby jste si na routeru (který to umí) pustil vyhledávání Windows mašin co vám to vše najde přes síť providera a kolik otevřených strojů a sdílení najdete a na kolik se dá bez problémů dostat :D
-
1. Stale jeste se najdou stroje, ktere jsou pripojeny primo pres modem a jestli neco ping utne, musi to byt firewall na tom stroji. Ne kazdy doma potrebuje celou sit a router a kdyz mu to funguje, tak to pojede, dokud se to nerozpadne.
-
ICMP echo request neznáte? Windows Firewall je v základu blokuje (jedním z důvodů je asi bezpečnost). Sdílení souborů je povolí automaticky - a je to podle mě logické.
Jo, to je urcite logicky ... kdyz to spolu nijak nesouvisi, a s bezpecnosti uz vubec ne, nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...
Jo k tomu bych se taky připojil. A co je teda na tom ICMP reply tak nebezpečného, že ho Windows Firewall blokuje ve výchozím stavu? :D
ICMP je slozity a zakerny protokol, se kterym ma Mykosoft dlohodobe potize.
Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.
http://www.computerworld.com/article/2483656/malware-vulnerabilities/microsoft-patch-tuesday--the-ping-of-death-returns--ipv6-style.html
-
Oo ono to téma vypnutého pingu tak nějak předpokládá lokálního útočníka, protože za prvním NATem je příchozí ping stejně na tu mašinu unavailable, že? :) Pingat jde vždy jen při přímém spojení na ten stroj.
Segmenty sítě nemusí být oddělené jenom NATy. Stačí i normální router, který samozřejmě pingy bez jakýchkoliv problémů předá dál.
-
Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.
Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.
Wikipedia: "In early implementations of TCP/IP, this bug is easy to exploit and can affect a wide variety of systems including Unix, Linux, Mac, Windows, and peripheral devices."
-
Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.
Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.
Pokud si dobře vzpomínám, pak na Ping of Death nebyly citlivé W95 (ty jej ovšem uměly vygenerovat), W-NT a nativní systémy IBM (OS/2, OS/390).
-
Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.
Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.
Pokud si dobře vzpomínám, pak na Ping of Death nebyly citlivé W95 (ty jej ovšem uměly vygenerovat), W-NT a nativní systémy IBM (OS/2, OS/390).
W95 a NT samozrejme postizene byly.
A hlavni rozdil oproti Linuxu byl v tom, ze Linux se rychle fixnul, zatimco na woknech zadny windowsupdate tehda nebyl. Ani zadny upozornovac na instalaci servicepacku. Tudiz drtiva vestsina woken zustala vulnerable.