Windows 7 blokují ping a tracert

[JardaP .]

Tak kdyz mas vsechny porty stealth a neodpovi ti ani ping, jak zjistis, ze tam mas utocit? Vselijake botnety oblezaji Internet a pingaji nebo zkusi par spojeni na ssh ci jine zname porty a kdyz neuspeji, jdou o dum dal. Pritom se na takove adrese, co dela mrtveho brouka, skryva treba pekne velka sit se silnou konektiviitou.

[Reklama]

[ByCzech]

Tak kdyz mas vsechny porty stealth a neodpovi ti ani ping, jak zjistis, ze tam mas utocit? Vselijake botnety oblezaji Internet a pingaji nebo zkusi par spojeni na ssh ci jine zname porty a kdyz neuspeji, jdou o dum dal. Pritom se na takove adrese, co dela mrtveho brouka, skryva treba pekne velka sit se silnou konektiviitou.

Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat .

Samozřejmě jiná situace je když by se chtěl útočník vlomit do Woken v domácnosti v ČR ze zahraničí a jiná, když jste místní provider či uživatel stejné části sítě nebo ještě lépe úplně stejné sítě. Dalo by se o tom vykládat hodiny a hodiny.

[RevizoB]

Mám Windows 7 a používám Windows Firewall Control.
Ten blokuje odchozí ping ven např. ping www.seznam.cz

(Když chce nějaký program komunikovat OUT dostanu zprávu jestli chci toto spojení povolit nebo blokovat)
Ale u pingu to jaksi neplatí.

Zkoušel jsem WFC vypnout a otestovat ping (Ping normálně fungoval)
Bohužel nevidím nic že by ve WFC bylo něco blokováno co by mělo dočinění s Pingem...


Díky "J" jsem ale našel tohle:

Je to sice povolené ale pravidlo je asi neaktivní jak ho mám aktivovat? (nikde tuto možnost nevidím)

[j]

To se ale pak divím, že jiné věci povolili

Jo, asi tak nejak, zajimavy je, ze ve vychozim stavu je otevrenych spousta "stovkovych" portu, deravych jak reseto (a nejde to nijak rozumne vypnout) ... ale na ping to neodpovi.

Podle me treba ve vychozim stavu ping blokujou wokenice proto, aby se utocnik nedozvedel, zdali stroj zije nebo nezije... take pri DDOS utoku pak neni mozne diagnostikovat, jestli to uz lehlo nebo jeste ne... nic jineho mne nenapada, proc by se to delalo...

Jasne, ono totiz na widlich vubec neni v defaultu otevreno asi 10 portu, takze vubec nestaci poslat neco na ne ...

[FrantaA]

Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace.

Vy asi předpokládáte útočníka z místního segmentu sítě, což je ovšem silné zjednodušení situace. Broadcasty zařízne první směrovač a dostat se komunikaci, která probíhá bokem od Vás, není jednoduché, zejména pokud je síť dobře spravovaná a má-li se to udělat reálně, ne jen kolem toho teoretizovat. Pokud chcete odhalit existenci vzdáleného uzlu, musíte z něj dostat nějakou odezvu, a ping je první volba.

[Reklama]

[JardaP .]

Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat .

Tak jiste, ja si zive predstavuju ta zapachajici podzemni doupata, kde se mdle osvetleni tezce prodira pochmurnymi oblaky opioveho dymu, nekde v Cine nebo Severni Korei, jak tam sedi stado hackeru a snifuji broadcasty z mych Widli, ktere se k nim nikdy nedostanou, pokud tedy Widle jsou tak blbe, ze ty broadcasty posilaji i do Internetu. Nehlede na to, ze typicke Widle jsou za nejakym ADSL touterem a jiz ten ty broadcasty asi utne.

Samozřejmě jiná situace je když by se chtěl útočník vlomit do Woken v domácnosti v ČR ze zahraničí a jiná, když jste místní provider či uživatel stejné části sítě nebo ještě lépe úplně stejné sítě. Dalo by se o tom vykládat hodiny a hodiny.

Coz je presne ta situace, o ktere je tu celou dobu rec. Plizivy unik MS broadcastu na nepratelske uzemi nikdo nepredpokladal.


@RevizoB: A neni v tom Windows Firewall Control take nejake pravidlo pro ICMP Echo Request a ICMP Echo Reply? Me nejak unika souvislost mezi ping a nejakym majkrosoftim sdilenim souboru a tiskaren. Samozrejme, ve Widlich je mozne uplne vsechno.

[j]

...
Je to sice povolené ale pravidlo je asi neaktivní jak ho mám aktivovat? (nikde tuto možnost nevidím)

Klipnes na to pravym ... a das povolit.

[ByCzech]

Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace.

Vy asi předpokládáte útočníka z místního segmentu sítě, což je ovšem silné zjednodušení situace. Broadcasty zařízne první směrovač a dostat se komunikaci, která probíhá bokem od Vás, není jednoduché, zejména pokud je síť dobře spravovaná a má-li se to udělat reálně, ne jen kolem toho teoretizovat. Pokud chcete odhalit existenci vzdáleného uzlu, musíte z něj dostat nějakou odezvu, a ping je první volba.

No ono to téma vypnutého pingu tak nějak předpokládá lokálního útočníka, protože za prvním NATem je příchozí ping stejně na tu mašinu unavailable, že? Pingat jde vždy jen při přímém spojení na ten stroj.

[ByCzech]

Ještě nikdy jsi nesniffoval síť? Každý packet má v sobě zdrojovou adresu. Windowsy toho do sítě vyžvaní hromady. Spousty broadcastových packetů, spousta různé komunikace. A u Windows 10 je to ještě jednodušší, ty pořád volají domů do MS, takže věcí k těžbě hromada. Sestavit si seznam IP adres, MAC adres a dalších věci není nic těžkého, pustit a chvíli počkat .

Tak jiste, ja si zive predstavuju ta zapachajici podzemni doupata, kde se mdle osvetleni tezce prodira pochmurnymi oblaky opioveho dymu, nekde v Cine nebo Severni Korei, jak tam sedi stado hackeru a snifuji broadcasty z mych Widli, ktere se k nim nikdy nedostanou, pokud tedy Widle jsou tak blbe, ze ty broadcasty posilaji i do Internetu. Nehlede na to, ze typicke Widle jsou za nejakym ADSL touterem a jiz ten ty broadcasty asi utne.

1. PING na tu mašinu za natem router utne určitě

2. Hodně by jste se divili, kdyby jste si na routeru (který to umí) pustil vyhledávání Windows mašin co vám to vše najde přes síť providera a kolik otevřených strojů a sdílení najdete a na kolik se dá bez problémů dostat

[JardaP .]

1. Stale jeste se najdou stroje, ktere jsou pripojeny primo pres modem a jestli neco ping utne, musi to byt firewall na tom stroji. Ne kazdy doma potrebuje celou sit a router a kdyz mu to funguje, tak to pojede, dokud se to nerozpadne.

[Youda]

ICMP echo request neznáte? Windows Firewall je v základu blokuje (jedním z důvodů je asi bezpečnost). Sdílení souborů je povolí automaticky - a je to podle mě logické.

Jo, to je urcite logicky ... kdyz to spolu nijak nesouvisi, a s bezpecnosti uz vubec ne, nadto kdyz RFC pozaduje, aby stroj na ping odpovedel ...

Jo k tomu bych se taky připojil. A co je teda na tom ICMP reply tak nebezpečného, že ho Windows Firewall blokuje ve výchozím stavu?

ICMP je slozity a zakerny protokol, se kterym ma Mykosoft dlohodobe potize.
Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.

http://www.computerworld.com/article/2483656/malware-vulnerabilities/microsoft-patch-tuesday--the-ping-of-death-returns--ipv6-style.html

[JSH]

Oo ono to téma vypnutého pingu tak nějak předpokládá lokálního útočníka, protože za prvním NATem je příchozí ping stejně na tu mašinu unavailable, že? Pingat jde vždy jen při přímém spojení na ten stroj.

Segmenty sítě nemusí být oddělené jenom NATy. Stačí i normální router, který samozřejmě pingy bez jakýchkoliv problémů předá dál.

[JardaP .]

Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.

Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.

Wikipedia: "In early implementations of TCP/IP, this bug is easy to exploit and can affect a wide variety of systems including Unix, Linux, Mac, Windows, and peripheral devices."

[FrantaA]

Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.

Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.

Pokud si dobře vzpomínám, pak na Ping of Death nebyly citlivé W95 (ty jej ovšem uměly vygenerovat), W-NT a nativní systémy IBM (OS/2, OS/390).

[Youda]

Slavny "Ping of Death" radil v dobach W9x jak morova rana a ani dnes to neni lepsi.

Jestli se pamatuju, tak Ping of Death nebyl problemem je na Widlich. Nicmene predpokladam, ze ostatni to uz nejak vyresili.

Pokud si dobře vzpomínám, pak na Ping of Death nebyly citlivé W95 (ty jej ovšem uměly vygenerovat), W-NT a nativní systémy IBM (OS/2, OS/390).

W95 a NT samozrejme postizene byly.
A hlavni rozdil oproti Linuxu byl v tom, ze Linux se rychle fixnul, zatimco na woknech zadny windowsupdate tehda nebyl. Ani zadny upozornovac na instalaci servicepacku. Tudiz drtiva vestsina woken zustala vulnerable.