C'est quoi "ICMP type 5 (redirect)" ?

[ouss]

Bonjour

mon parefeux (seagate personal firewall) m'a demandé si je voulais accepter l'envoi d'informations dont voici le détail:

 

File Version : 5.1.2600.3093

File Description : Noyau et système NT (ntoskrnl.exe)

File Path : C:\WINDOWS\system32\ntoskrnl.exe

Process ID : 0x4 (Heximal) 4 (Decimal)

 

Connection origin : local initiated

Protocol : ICMP

Local Address : 88.178.XXX.XX

ICMP Type : 5 (Redirect)

ICMP Code : 1 (Redirect datagrams for the Host)

Remote Name :

Remote Address : 88.80.7.82

 

Ethernet packet details:

Ethernet II (Packet Length: 116)

Destination: 00-07-cb-10-3b-9e

Source: 00-07-cb-00-00-ff

Type: IP (0x0800)

Internet Protocol

Version: 4

Header Length: 20 bytes

Flags:

.0.. = Don't fragment: Not set

..0. = More fragments: Not set

Fragment offset:0

Time to live: 1

Protocol: 0x1 (ICMP - Internet Control Message Protocol)

Header checksum: 0xad18 (Correct)

Source: 88.178.XXX.XX j'ai masqué mon IP!!

Destination: 88.80.7.82

Internet Control Message Protocol

Type: 5 (Redirect)

Code: 1 (Redirect datagrams for the Host)

Data (64 bytes)

 

Binary dump of the packet:

0000: 00 07 CB 10 3B 9E 00 07 : CB 00 00 FF 08 00 45 00 | ....;.........E.

0010: 00 58 14 72 00 00 01 01 : 18 AD 58 B2 D4 32 58 50 | .X.r......X..2XP

0020: 07 52 05 01 00 50 DC FA : 29 66 91 AB 34 0E 50 11 | .R...P..)f..4.P.

0030: 40 7F 4C 01 00 00 47 45 : 54 20 2F 66 61 76 69 63 | @.L...GET /favic

0040: 6F 6E 2E 69 63 6F 20 48 : 54 54 50 2F 31 2E 31 0D | on.ico HTTP/1.1.

0050: 0A 48 6F 73 74 3A 20 77 : 77 77 2E 63 6F 75 70 64 | .Host: www.coupd

0060: 65 67 75 65 75 6C 65 2E : 63 6F 6D 0D 0A 55 73 65 | egueule.com..Use

0070: 72 2D 41 67 : | r-Ag

 

un whois sur l'adresse de destination me donne

OrgName: RIPE Network Coordination Centre

OrgID: RIPE

Address: P.O. Box 10096

City: Amsterdam

StateProv:

PostalCode: 1001EB

Country: NL

 

ReferralServer: whois://whois.ripe.net:43

 

NetRange: 88.0.0.0 - 88.255.255.255

CIDR: 88.0.0.0/8

NetName: 88-RIPE

NetHandle: NET-88-0-0-0-1

Parent:

NetType: Allocated to RIPE NCC

NameServer: NS-PRI.RIPE.NET

NameServer: NS3.NIC.FR

NameServer: SEC1.APNIC.NET

NameServer: SEC3.APNIC.NET

NameServer: SUNIC.SUNET.SE

NameServer: TINNIE.ARIN.NET

NameServer: NS.LACNIC.NET

Comment: These addresses have been further assigned to users in

Comment: the RIPE NCC region. Contact information can be found in

Comment: the RIPE database at http://www.ripe.net/whois

RegDate: 2004-04-01

Updated: 2004-04-06

 

Une idée de ce que c'est que ça? cookie traceur?

Merci à vous d'avance

Modifié le 22 janvier 2008 par ouss

[ouss]

Salut

Personne ne sais ce que c'est que ce truc???

[Xerta]

Salut

Personne ne sais ce que c'est que ce truc???

 

Salut - Voir :

 

http://www.techimo.com/forum/t43615.html

 

NTOSKRNL.EXE is Windows NT Kernel. This is a low level communication tool that allows Windows to function. Disabling this may prevent Internet access and file print share. I recommend that you allow this.

 

NTOSKRNL.EXE est le Noyau de NT de Windows. C’est est un outil de communication de bas niveau qui permet à Windows fonctionner. Le neutraliser peut empêcher l'accès à Internet…

 

Donc cette alerte du firewall Sygate est à ignorer.

[ouss]

Salut

j'ai suivi ton lien et il y a également ceci:

The kernel driver should have no reason to go out to the Internet. There are other Windows system files that do need access like:

 

- Generic Host Processes for Win32 Services

- Services and Contoller App

 

Je me pose surtout la question de savoir pourquoi veut il envoyer un paquet à amsterdam?

(j'ai arreter la fumette il y a bien longtemps )

[Greywolf]

pourquoi dans le dump du paquet ICMP, y-at-il des commandes http?

www.coupdegueule.com te dit quelquechose?

 

de toute façon avec un ttl de 1, le paquet va pas aller bien loin

[ouss]

pourquoi dans le dump du paquet ICMP, y-at-il des commandes http?

www.coupdegueule.com te dit quelquechose?

 

de toute façon avec un ttl de 1, le paquet va pas aller bien loin

Salut Greywolf

j'avais en effet visité une page sur coupdegueule.com peu avant

je ne m'inquiète pas de savoir si le paquet est arrivé (je ne l'ai pas autorisé )

mais vu que je suis devenu un peu parano je me pose souvent la question du pourquoi, comment, c'est quoi!

[Greywolf]

c'est un comportement un peu bizarre que NTOSKrnl veuille signifier une redirection.

Le masque de ton adresse publique est bien en 255.255.255.255 ? et pas en 255.0.0.0 ?

 

Pour des raisons de sécurité, on refuse les paquets ICMP type 5 entrant pour éviter de se faire rediriger indûment. Ton cas est différent puisque c'est ton OS qui a voulu en envoyer un. Normalement, ce sont les routeurs qui s'échangent des messages ICMP type 5.

 

Ta machine fait du partage de connexion?

quelles sont les interfaces associées aux adresses MAC retrouvées dans le dump:

Destination: 00-07-cb-10-3b-9e

Source: 00-07-cb-00-00-ff (ça ça doit être ton interface réseau)

[ouss]

Le masque de ton adresse publique est bien en 255.255.255.255 ? et pas en 255.0.0.0 ?

mon masque est 255.255.255.0

 

Ta machine fait du partage de connexion?

Pas que je saches

Edit: je viens de voir que le partage de fichiers et d'imprimantes pour le réseau microsoft étais activé

 

quelles sont les interfaces associées aux adresses MAC retrouvées dans le dump:

Destination: 00-07-cb-10-3b-9e

Source: 00-07-cb-00-00-ff (ça ça doit être ton interface réseau)

je n'ai absoment rien compris! (je ne suis pas sous MAC si c'est la question)

Modifié le 22 janvier 2008 par ouss

[Greywolf]

dans une invite de commandes, tape

ipconfig /all
arp -a

 

et donne le résultat.

 

//le partage de fichiers windows n'a rien à voir là dedans. C'était juste pour savoir si d'autres PC de ton réseau accédaient à internet au travers du tien

[ouss]

le résultat: (j'ai masqué mon IP)