Joe King: kernel32.dll will Internetverbindung

Hallo Leute,

bei mir will kernel32.dll öfter eine Verbindung ins Internet aufbauen. Ich verbiete ihm das immer über die Sygate Personal Firewall. Ich wüsste aber doch ganz gerne, was kernel32.dll vom Internet will. Funkt da wer nach Hause?

Hier das Protokoll von Sygate Personal Firewall:

File Version :  4.90.0.3000
File Description : Kernkomponente des Win32-Kernel (kernel32.dll)
File Path :  C:\WINDOWS\SYSTEM\kernel32.dll
Process ID :  0xFFCF00ED (Heximal) 4291756269 (Decimal)

Connection origin : local initiated
Protocol :  ICMP
Local Address :  192.168.2.101
ICMP Type :  11 (Time Exceeded for Datagram)
ICMP Code :   1 (Fragment Reassembly Timer Expired - from host)
Remote Name :
Remote Address : 71.38.1.55

Ethernet packet details:
Ethernet II (Packet Length: 72)
 Destination:  00-12-bf-4f-1d-6e
 Source:  00-0c-f6-16-3c-ce
Type: IP (0x0800)
Internet Protocol
 Version: 4
 Header Length: 20 bytes
 Flags:
  .0.. = Don't fragment: Not set
  ..0. = More fragments: Not set
 Fragment offset:0
 Time to live: 128
 Protocol: 0x1 (ICMP - Internet Control Message Protocol)
 Header checksum: 0xea19 (Correct)
 Source: 192.168.2.101
 Destination: 71.38.1.55
Internet Control Message Protocol
 Type: 11 (Time Exceeded for Datagram)
 Code: 1 (Fragment Reassembly Timer Expired - from host)
 Data (32 bytes)

Binary dump of the packet:
0000:  00 12 BF 4F 1D 6E 00 0C : F6 16 3C CE 08 00 45 00 | ...O.n....<...E.
0010:  00 38 15 71 00 00 80 01 : 19 EA C0 A8 02 65 47 26 | .8.q.........eG&
0020:  01 37 0B 01 96 96 00 00 : 00 00 45 00 02 E4 FF FF | .7........E.....
0030:  20 00 75 11 17 9F 47 26 : 01 37 C0 A8 02 65 18 CA |  .u...G&.7...e..
0040:  18 CC 05 9F 27 33 9F 46 :                         | ....'3.F

P.S.: Ich habe WinMe und bin über WLAN DSL im Internet

bis dann
Joe King

  1. hallo,

    Ich wüsste aber doch ganz gerne, was kernel32.dll vom Internet will.

    Vermutlich nichts, aber irgendetwas anderes, das auf diese Bibliothek zugreift. Du müßtest angeben, ob du eine Fehlermeldung bekommst und wie die lautet. Ansonst kannst du dich in der Knowledge Base durch allerhand Hilfetexte hindurchlesen.

    Remote Address : 71.38.1.55

    Was hast du mit einem in Denver (USA) ansässigen Anbieter zu tun?

    P.S.: Ich habe WinMe und bin über WLAN DSL im Internet

    Das ist bekannt. Trotzdem solltest du den Einsatz von Me überdenken und wenn möglich ein aktuelleres System nutzen.

    Grüße aus Berlin

    Christoph S.

    --
    Visitenkarte
    http://www.christoph-schnauss.de
    ss:| zu:) ls:& fo:) va:) sh:| rl:|
    1. Hallo,

      Also dann hier die "Fehlermeldung":

      "Kernkomponente des Win32-Kernel [kernel32.dll] is trying to send an ICPM Type 11 (Time Exceeded for Datagram) packet to [68.124.162.207]. Do you want to allow this program to access the network?"

      Nö, will ich natürlich nicht, solang ich nicht weiß, was du da willst, du böser Kernel32.dll!

      bis dann
      Joe King

      1. Hallo,

        wenn ich auf "Details" klicke, bekomme ich das hier:

        File Version :  4.90.0.3000
        File Description : Kernkomponente des Win32-Kernel (kernel32.dll)
        File Path :  C:\WINDOWS\SYSTEM\kernel32.dll
        Process ID :  0xFFCF00F7 (Heximal) 4291756279 (Decimal)

        Connection origin : local initiated
        Protocol :  ICMP
        Local Address :  192.168.2.101
        ICMP Type :  11 (Time Exceeded for Datagram)
        ICMP Code :   1 (Fragment Reassembly Timer Expired - from host)
        Remote Name :
        Remote Address : 68.124.162.207

        Ethernet packet details:
        Ethernet II (Packet Length: 72)
         Destination:  00-12-bf-4f-1d-6e
         Source:  00-0c-f6-16-3c-ce
        Type: IP (0x0800)
        Internet Protocol
         Version: 4
         Header Length: 20 bytes
         Flags:
          .0.. = Don't fragment: Not set
          ..0. = More fragments: Not set
         Fragment offset:0
         Time to live: 128
         Protocol: 0x1 (ICMP - Internet Control Message Protocol)
         Header checksum: 0xdd69 (Correct)
         Source: 192.168.2.101
         Destination: 68.124.162.207
        Internet Control Message Protocol
         Type: 11 (Time Exceeded for Datagram)
         Code: 1 (Fragment Reassembly Timer Expired - from host)
         Data (32 bytes)

        Binary dump of the packet:
        0000:  00 12 BF 4F 1D 6E 00 0C : F6 16 3C CE 08 00 45 00 | ...O.n....<...E.
        0010:  00 38 26 8F 00 00 80 01 : 69 DD C0 A8 02 65 44 7C | .8&.....i....eD|
        0020:  A2 CF 0B 01 AF 4C 00 00 : 00 00 45 00 05 AC 27 8E | .....L....E...'.
        0030:  20 00 74 11 4F 5A 44 7C : A2 CF C0 A8 02 65 18 CC |  .t.OZD|.....e..
        0040:  18 CC 05 9F 0E 7B 62 BD :                         | .....{b.

        Hilfreich? Ich denke doch eher nicht, oder?

        bis dann
        Joe King

        1. Hallo,

          TZtz

          File Version :  4.90.0.3000
          File Description : Kernkomponente des Win32-Kernel (kernel32.dll)
          File Path :  C:\WINDOWS\SYSTEM\kernel32.dll
          Process ID :  0xFFCF00F7 (Heximal) 4291756279 (Decimal)

          Connection origin : local initiated
          Protocol :  ICMP
          Local Address :  192.168.2.101

          Na klasse da ham wer schon einen anfang :-)
          Daraus lässt sich folgern das hier ein DHCP-server läuft der Ips im Bereich
          von 192.168.2.100 bis 192.168.2.xxx verteilt

          ICMP Type :  11 (Time Exceeded for Datagram)
          ICMP Code :   1 (Fragment Reassembly Timer Expired - from host)
          Remote Name :
          Remote Address : 68.124.162.207

          Ethernet packet details:
          Ethernet II (Packet Length: 72)
          Destination:  00-12-bf-4f-1d-6e
          Source:  00-0c-f6-16-3c-ce

          es kommt noch besser :-)
          Das is die Mac-Adresse! Ich hoffe nur das Du DIR bewusst bist , das diese weltweit einmalig ist und Dein Recćhner, bzw, Deine Netzwerkare daran eindeutig erkennbar ist.

          Type: IP (0x0800)
          Internet Protocol
          Version: 4
          Header Length: 20 bytes
          Flags:
            .0.. = Don't fragment: Not set
            ..0. = More fragments: Not set
          Fragment offset:0
          Time to live: 128
          Protocol: 0x1 (ICMP - Internet Control Message Protocol)
          Header checksum: 0xdd69 (Correct)
          Source: 192.168.2.101
          Destination: 68.124.162.207
          Internet Control Message Protocol
          Type: 11 (Time Exceeded for Datagram)
          Code: 1 (Fragment Reassembly Timer Expired - from host)
          Data (32 bytes)

          wie schön hier ham wer dann auch noch den Packetaufbau :-)
          und somit alles zusammen um jede Firewall hübsch zu umgehen:-)
          Wie Sven schon richtig bemerkt hat is es durchaus möglich was böses z.B. in die zweite Schicht (Session_layer) der OSI-schichten einzubauen.

          Binary dump of the packet:
          0000:  00 12 BF 4F 1D 6E 00 0C : F6 16 3C CE 08 00 45 00 | ...O.n....<...E.
          0010:  00 38 26 8F 00 00 80 01 : 69 DD C0 A8 02 65 44 7C | .8&.....i....eD|
          0020:  A2 CF 0B 01 AF 4C 00 00 : 00 00 45 00 05 AC 27 8E | .....L....E...'.
          0030:  20 00 74 11 4F 5A 44 7C : A2 CF C0 A8 02 65 18 CC |  .t.OZD|.....e..
          0040:  18 CC 05 9F 0E 7B 62 BD :                         | .....{b.

          Hilfreich? Ich denke doch eher nicht, oder?

          Doch absolut Hilfreich für jeden der was davon versteht und ohne sich über Die verwendete Firewall gedanken zu machen Dir böses will :_(

          mfg

          Das Schmunzelmonster

          1. hallo,

            Local Address :  192.168.2.101
            Na klasse da ham wer schon einen anfang :-)
            Daraus lässt sich folgern das hier ein DHCP-server läuft der Ips im Bereich
            von 192.168.2.100 bis 192.168.2.xxx verteilt

            Nein, das ist nicht so. Diese IP-Adressen lassen sich schließlich auh "fest" vergeben, dazu braucht man keinen DHCP-Server.

            Source:  00-0c-f6-16-3c-ce
            es kommt noch besser :-)
            Das is die Mac-Adresse! Ich hoffe nur das Du DIR bewusst bist , das diese weltweit einmalig ist und Dein Recćhner, bzw, Deine Netzwerkare daran eindeutig erkennbar ist.

            Das ist zwar die MAC-Adresse, nur kannst du damit gar nichts anfangen.

            wie schön hier ham wer dann auch noch den Packetaufbau :-)
            und somit alles zusammen um jede Firewall hübsch zu umgehen:-)

            Das wird dir kaum gelingen, weil du, als jemand "von außen", die Firewall auch mit diesen Informationen nicht umgehen kannst. Das wird erst dann möglich, wenn sie eben deaktiviert ist - oder "zu scharf" eingestellt wurde und an sich harmlose requests nicht beachtet/durchführt.

            Wie Sven schon richtig bemerkt hat

            Er hat deutlich mehr "bemerkt" als du hier nachzutragen versuchst.

            Grüße aus Berlin

            Christoph S.

            --
            Visitenkarte
            http://www.christoph-schnauss.de
            ss:| zu:) ls:& fo:) va:) sh:| rl:|
            1. hallo,

              Daraus lässt sich folgern das hier ein DHCP-server läuft der Ips im Bereich
              von 192.168.2.100 bis 192.168.2.xxx verteilt

              Nein, das ist nicht so. Diese IP-Adressen lassen sich schließlich auh "fest" vergeben, dazu braucht man keinen DHCP-Server.

              Ich weise mal auf das verwendete Wort "folgern" (hier nächstliegende Annahme) hin, kein Anspruch auf Ausschliesslichkeit. War nur ein Beispiel.

              Das ist zwar die MAC-Adresse, nur kannst du damit gar nichts anfangen.

              Da lasse ich Dich gerne in dem Glauben und hoffe dieser ist Standhaft genug, so das auch Dein Rechner dies so sieht :-) Eine Betrachtung der Vermitlungs_schicht könnte vieleicht Bekehrend sein :-)

              wie schön hier ham wer dann auch noch den Packetaufbau :-)
              und somit alles zusammen um jede Firewall hübsch zu umgehen:-)

              Das wird dir kaum gelingen, weil du, als jemand "von außen", die Firewall auch mit diesen Informationen nicht umgehen kannst. Das wird erst dann möglich, wenn sie eben deaktiviert ist - oder "zu scharf" eingestellt wurde und an sich harmlose requests nicht beachtet/durchführt.

              Ach ja? Deiner Meinung nach geht die Firewall auch in den Hardware_layer?
              Um nich zu fragen" Und was is mit Tee" frag ich mal wie bei einem Verbindungorientierten Protokoll wohl das Paket wissen kann das es beim richtigen Rechner ist? "Guggst Du arp" *g*

              Er hat deutlich mehr "bemerkt" als du hier nachzutragen versuchst.

              Es ist schon erstaunlich zu lesen mit welcher Selbsverständlichkeit Glaskugeln Auskunft über Intensionen anderer geben könne :-)

              mfg

              Das Schmunzelmonster

              1. guten Abend,

                Das ist zwar die MAC-Adresse, nur kannst du damit gar nichts anfangen.
                Da lasse ich Dich gerne in dem Glauben und hoffe dieser ist Standhaft genug, so das auch Dein Rechner dies so sieht :-)

                Tut er. Es macht nichts, wenn ich dich über meinen eigenen Rechner informiere als Gegenbeispiel:
                   DHCP-Lease-Start Nicht verfügbar
                   MAC-Adresse       00:50:BF:91:2A:24
                   E/A-Port             0x0000D400-0x0000D4FF
                   Speicheradresse 0xFEAF7C00-0xFEAF7CFF
                Das ist im Moment die NIC, an der mein DSL-Modem hängt, insofern also lebenswichtig, wenn ich online gehen will. Die IP des Rechners einschließlich dieser NIC ist im übrigen (fest eingestellt, aber über DHCPD änderbar) 192.168.0.1.

                Eine Betrachtung der Vermitlungs_schicht könnte vieleicht Bekehrend sein :-)

                Ich meine mich mit dem OSI-Modell einigermaßen auszukennen.

                Deiner Meinung nach geht die Firewall auch in den Hardware_layer?

                Ups?

                Um nich zu fragen" Und was is mit Tee"

                Bringt nix. Für den Rest des Abends gibts Holunderwein ;-)

                Es ist schon erstaunlich

                Ja, das ist es bisweilen.

                Grüße aus Berlin

                Christoph S.

                --
                Visitenkarte
                http://www.christoph-schnauss.de
                ss:| zu:) ls:& fo:) va:) sh:| rl:|
                1. gute Nacht,

                  Eine Betrachtung der Vermitlungs_schicht könnte vieleicht Bekehrend sein :-)

                  Ich meine mich mit dem OSI-Modell einigermaßen auszukennen.

                  Mich dieser Meinung leider nich anschliessen kann :-)

                  Zwei klicks weiter in oben genannten link ist z.B. dies zu finden
                  "Ein möglicher Angriff auf ein geswitchtes Ethernet ist das ARP-Spoofing oder MAC-Flooding."

                  Nur so zum einfachen Verständniss : Wie aus dem Ausgangsposting zu sehen ist, ist das Paket bereits im Rechner und die Firewall blockiert nur die Ausgabe.
                  Klar ist es sinnvoll den Einbrecher, wenn er schon Drin ist Einzusperren,  aber wer will schon eigenes Haus zum Gefängnis Umrüste ? :-) Das soll nun nich heissen das ich dafür bin dem Dieb auch noch beim raustragen zu helfen.

                  Ps.:Auf aus dem Zusamenhang gerissene Zitatschnippsel bin ich nicht gewillt einzugehen.

                  mfg

                  Das Schmunzelmonster

                  1. Moin!

                    Zwei klicks weiter in oben genannten link ist z.B. dies zu finden
                    "Ein möglicher Angriff auf ein geswitchtes Ethernet ist das ARP-Spoofing oder MAC-Flooding."

                    Ein derartiger Angriff erfordert aber zwingend, dass der Angreifer im gleichen Netzwerk angeschlossen ist, wie das Opfer.

                    Das kann aber in kleinen Heimnetzen deswegen ausgeschlossen werden, weil die vier oder fünf Anschlüsse am Router sehr übersichtlich nur von autorisierten Nutzern genutzt werden dürften. Ok, ein ungesichertes WLAN würde natürlich einladend sein, allerdings braucht man da ja auch kein ARP-Spoofing, da WLAN prinzipbedingt "broadcastet".

                    Und das konkrete Beispiel deutet einen Datenfluß von einer privaten IP hin zu einer öffentlichen IP an - das verneint einen lokalen Angriff also auch - zumindest einen, für den ARP-Spoofing oder MAC-Flooding notwendig wären.

                    Nur so zum einfachen Verständniss : Wie aus dem Ausgangsposting zu sehen ist, ist das Paket bereits im Rechner und die Firewall blockiert nur die Ausgabe.

                    Nicht ganz richtig. Das Paket ist ein vom Rechner generiertes und abzuschickendes. Daran hat mit Sicherheit niemand manipuliert, der Inhalt ist "echt".

                    Klar ist es sinnvoll den Einbrecher, wenn er schon Drin ist Einzusperren,  aber wer will schon eigenes Haus zum Gefängnis Umrüste ? :-) Das soll nun nich heissen das ich dafür bin dem Dieb auch noch beim raustragen zu helfen.

                    Da das Paket von keinem Einbrecher erzeugt wurde, ist auch kein "Einbrecher" drinnen und wird eingesperrt.

                    - Sven Rautenberg

                    --
                    My sssignature, my preciousssss!
          2. Moin!

            Local Address :  192.168.2.101

            Na klasse da ham wer schon einen anfang :-)
            Daraus lässt sich folgern das hier ein DHCP-server läuft der Ips im Bereich
            von 192.168.2.100 bis 192.168.2.xxx verteilt

            Das läßt sich nicht "folgern", sondern das ist schlicht geraten - sowohl die Existenz des DHCP-Servers, als auch der IP-Bereich, den er eventuell zu vergeben hat.

            Und darüber hinaus würde es auch nichts ändern, wenn man wüßte, dass die IP per DHCP vergeben würde, oder statisch: So oder so wäre dieser Rechner aus dem Internet sowieso nicht erreichbar unter dieser IP.

            Destination:  00-12-bf-4f-1d-6e
            Source:  00-0c-f6-16-3c-ce

            es kommt noch besser :-)
            Das is die Mac-Adresse! Ich hoffe nur das Du DIR bewusst bist , das diese weltweit einmalig ist und Dein Recćhner, bzw, Deine Netzwerkare daran eindeutig erkennbar ist.

            Richtig, die MAC-Adresse _sollte_ weltweit einmalig sein. Es gibt aber dumme Zufälle, bei denen eine MAC-Adresse nicht nur zweimal an eine Netzwerkkarte vergeben wird, sondern diese zwei Netzwerkkarten dann auch noch im gleichen Netzwerk zusammengeschlossen werden - und für sehr interessante Netzwerkfehler sorgen können. Ist alles in der Realität schon vorgekommen.

            Darüber hinaus: Die MAC-Adresse wird ohnehin nur im lokalen Netzwerksegment verbreitet, einen Router überwindet sie nicht - jedenfalls nicht aufgrund des Ethernet- oder TCP/IP-Protokolls (wenn ein Programm die MAC-Adresse ausliest und versendet, ist das was anderes, darum gehts hier aber nicht).

            Du würdest also weder die MAC-Adresse sehen können, noch aktiv nach ihr suchen.

            Internet Control Message Protocol
            Type: 11 (Time Exceeded for Datagram)
            Code: 1 (Fragment Reassembly Timer Expired - from host)
            Data (32 bytes)

            wie schön hier ham wer dann auch noch den Packetaufbau :-)

            Ja, ein ganz langweiliges ICMP-Paket.

            und somit alles zusammen um jede Firewall hübsch zu umgehen:-)

            Das sehe ich anders. Erstens: Diese Daten betreffen Pakete, die der betroffene Computer _senden_ wollte, nicht empfangen. Zweitens: Diese Pakete werden zur Zeit gefiltert, sie verlassen den Rechner also nicht. Und drittens: Woher kennst du die Konfiguration der Eingangsregeln, um diese zu umgehen? Die Ausgangsregeln sind ja erstmal irrelevant und werden in der Regel zur Erlangung von Root-Rechten nicht unbedingt benötigt.

            Wie Sven schon richtig bemerkt hat is es durchaus möglich was böses z.B. in die zweite Schicht (Session_layer) der OSI-schichten einzubauen.

            Das ist mir gar nicht aufgefallen, dass ich sowas bemerkt hätte.

            Abgesehen davon darfst du in Zusammenhang mit TCP/IP das OSI-Modell gerne ad acta legen, da es nicht ganz zutreffend ist. Es hat akademischen Wert, aber wenn es um konkrete Protokolle mit konkreten Hacks für Angriffe geht, argumentiert man doch lieber mit den konkreten Schichten dieses Protokolls.

            Das gilt insbesondere dann, wenn man mit der Numerierung und Bezeichnung der Schichten durcheinanderkommt. Laut OSI-Modell ist Schicht 2 die Sicherungsschicht (data link), der "Session Layer" wäre Schicht 5. Und beide Schichten sind für deine Argumentation unzugänglich, weil die Schicht 2 in einem TCP/IP-Netzwerk der untersten Schicht, hier "Ethernet" entspricht, und die Schicht 5 der obersten Schicht, nämlich den höchsten Protokollen HTTP, FTP, und so weiter.

            Eine für einen Angreifer aus dem Internet zugängliche Schicht wäre ab der zweiten Schicht (OSI-Schicht 3: "Vermittlung - network layer") anzusiedeln: IP-Protokoll, ICMP, IGMP. Durch Feintuning passender Datenpakete läßt sich so manches Programm und Firewall in interessanter Weise "neugestalten".

            In Schicht 3 (OSI-Schicht 4: "Transport - transport layer") mit TCP, UDP, wäre ebenfalls ein Ansatzpunkt für Manipulationen.

            Und Schicht 4 (OSI-Schichten 5 bis 7: "session, presentation and application layer") mit den bekannten Protokollen wäre im Grundsatz auch noch manipulierbar, daran wird sich eine paketfilternde Firewall aber nicht stören.

            Binary dump of the packet:
            0000:  00 12 BF 4F 1D 6E 00 0C : F6 16 3C CE 08 00 45 00 | ...O.n....<...E.
            Hilfreich? Ich denke doch eher nicht, oder?

            Doch absolut Hilfreich für jeden der was davon versteht und ohne sich über Die verwendete Firewall gedanken zu machen Dir böses will :_(

            Ich glaube kaum, dass der Dump eines ICMP-Paketes, das automatisch vom Betriebssystem generiert wurde, und dessen Inhalt in Textform schon ausführlich oben ausgebreitet wurde, noch irgendeine geheime und vor allem nutzbare Botschaft enthalten könnte.

            Unter dem Strich: Dein Beitrag war eigentlich absolut nicht hilfreich. Weder wurden handfeste, zutreffende Aussagen getroffen, noch sonst irgendein Beweis für deine Andeutungen hinsichtlich der Brisanz der veröffentlichten Information angetreten. In Netzwerkdingen mußt du noch hinzulernen.

            - Sven Rautenberg

            --
            My sssignature, my preciousssss!
            1. Moin!

              Das "xOSI"- Schichtenmodell hat acht Schichten. Die achte und für einen Angriff wohl am einfachsten auszunutzende Schicht ist: Der User. In dieser Ebene angesiedelte Protokolle: NG  (Neugier), AGT (Angst), HKTK (Hektik), UWH (Unwissenheit). Diese Zugriffsmöglichmöglichkeiten bietet jeder (ich auch), den Schutz zuerst beim UWH-Protokoll anzusetzen ist eine gute Idee.

              Ich hab grad wieder was hübsches gelernt. *freu*

              MFFG (Mit freundlich- friedfertigem Grinsen)

              fastix®

              --
              Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
              1. hallo fastix®,

                Das "xOSI"- Schichtenmodell hat acht Schichten. Die achte und für einen Angriff wohl am einfachsten auszunutzende Schicht ist: Der User.

                Wie alle wirklich hilfreichen Modelle hat das OSI-Modell, wie dargelegt, den unschätzbaren Vorteil, daß sich alle an ihm orientieren, aber keiner es tatsäclich vollständig verwirklicht.

                Das dürfen wir dann für den "user" genauso handhaben: alle wissen, was das als verbindlich und normsetzend anerkannter Modellfall sein sollte, aber keiner hält sich wirklich daran ...

                Grüße aus Berlin

                Christoph S.

                --
                Visitenkarte
                http://www.christoph-schnauss.de
                ss:| zu:) ls:& fo:) va:) sh:| rl:|
  2. Moin!

    bei mir will kernel32.dll öfter eine Verbindung ins Internet aufbauen. Ich verbiete ihm das immer über die Sygate Personal Firewall. Ich wüsste aber doch ganz gerne, was kernel32.dll vom Internet will. Funkt da wer nach Hause?

    Deine Anfrage ist wieder einmal der Beweis dafür, dass es schwachsinnig ist, unwissenden Normalbenutzern, die keine Ahnung von Internetprotokollen haben können, durch Firewalls eine Sicherheit vorspiegeln zu wollen, die nicht existiert.

    Konkret:
    Der kernel32.dll ist eine zentrale, wichtige DLL von Windows. Der den Internetzugriff zu sperren klingt schon von vornherein nicht wie eine besonders gute Idee. Das machen wohl nur Leute, die unlizensierte Versionen benutzen und Angst haben, Herr Gates könnte morgen an der Tür klingeln.

    Weiterhin:
    ICMP ist nicht nur das Protokoll für "Ping", sondern umfaßt einen großen Bereich steuernder und regelnder Aufgaben für den Datenfluß im Internet. ICMP-Nachrichten sind durchaus WICHTIG für das Funktionieren des Internets. Meldungen wie "Destination unreachable" informieren über die Unerreichbarkeit des Ziels.

    Und die hier vorliegende Nachricht

    ICMP Type :  11 (Time Exceeded for Datagram)

    bedeutet, dass dein Rechner den anderen Rechner darüber informieren will, dass seine gesendeten IP-Pakete an deinem Rechner enden, weil die gesetzte TTL (time to live, hat aber nichts mit Uhrzeiten zu tun, sondern ist ein Zähler für die maximale Anzahl der Router, die durchquert werden sollen - dein Rechner ist nun eben der letzte gewesen, deshalb die ICMP-Botschaft).

    ICMP Code :   1 (Fragment Reassembly Timer Expired - from host)
    Remote Name :
    Remote Address : 71.38.1.55

    Das ist die IP-Adresse des Clients, der die ICMP-Nachricht gesendet kriegen soll, und der sehr wahrscheinlich ein verursachendes Paket gesendet hat.

    Was kann passiert sein?

    Die banalste Sache kann sein, dass diese IP einfach ein simples Traceroute gemacht hat. Traceroute provoziert durch sehr kleine TTL-Werte in den Datenpaketen, dass sich nacheinander alle auf der Strecke von Start bis Ziel liegenden Router mit einer ICMP-Meldung "Time exceeded for datagram" melden und damit erkennbar werden.

    Traceroute-Tests sind absolut nichts gefährliches. Über das Motiv für so einen Test kann man nur spekulieren.

    Natürlich könnte auch eine ernsthafte Datenverbindung zu diesem Host bestehen. Dann würde die Sicherheit dieser Verbindung durch die gefilterten ICMP-Meldungen durchaus gefährdet sein.

    Es ist also absolut nicht ratsam, uninformiert Firewall-Entscheidungen zu treffen.

    Denn was bringt das? Man selbst stellt entweder fest, dass das Verbieten der Datensendung nichts ändert, oder man stellt fest, dass das Internet dann nicht mehr geht. Im letzteren Fall wird man sich dann mit Sicherheit umentscheiden. Welche Sicherheit wäre dadurch gewonnen, dass man sich doch so entscheidet, dass das Internet geht? Niemand wird sich ja so entscheiden, dass er eine maximierte Sicherheit hat, wenn er dadurch Komforteinbußen hat.

    Was bei der Entscheidung aber leider vollkommen außen vor bleibt, sind die Auswirkungen auf den Rest des Internets. Das Internet meldet sich natürlich nicht bei dem Firewall-Administrator und beschwert sich.

    Unter dem Strich ist diese Firewall-Meldung zwar wunderschön detailliert, aber für den unwissenden Benutzer, der einfach nur "sicheres Internet" will, vollkommen untauglich. Firewall-Admininstratoren müssen sich zwingend mit den Feinheiten des IP-Protokolls sowie der darauf aufsetzenden Protokolle TCP, UDP und ICMP auskennen, um sinnvolle Entscheidungen zu treffen.

    Da solche Firewalls aber sowieso keinen Schutz bewirken gegen Programme, die es WIRKLICH darauf anlegen, nach außen Kontakt aufzunehmen, ist es wirklich besser, auf Firewalls dieser Art zu verzichten.

    Oder glaubst du im Ernst, Microsoft wäre, wenn sie es denn darauf anlegen würden, so dumm und würde sich beim Nachhause-Senden von irgendwelchen Firewalls erwischen lassen? Wenn, dann würden sie die Daten als "IEXPLORE.EXE" versenden - den wird vermutlich jeder ins Internet lassen. Oder sie benutzen die tiefsten OS-Schichten, in die keine Firewall vordringen kann.

    - Sven Rautenberg

    --
    My sssignature, my preciousssss!
  3. Hallo Joe,

    bei mir will kernel32.dll öfter eine Verbindung ins Internet aufbauen. Ich verbiete ihm das immer über die Sygate Personal Firewall.

    das ist keine gute Idee.

    Ich wüsste aber doch ganz gerne, was kernel32.dll vom Internet will. Funkt da wer nach Hause?

    Nein. Nicht nach Hause. Zurück zum Absender. Ein fragmentiertes Datagramm kann nicht mehr zusammengesetzt werden, weil die Lebensdauer abgelaufen ist. Du untersagst TCP/IP die Möglichkeit, sich selbst zu justieren.

    Hier das Protokoll von Sygate Personal Firewall:

    [...]

    ICMP Type :  11 (Time Exceeded for Datagram)

    Personal Firewalls als Mittel, ein Protokoll seiner Selbstregulierungsmechanismen zu berauben, das Internet noch stärker zu verstopfen, den Benutzer zu verunsichern und ihn auf die Wichtigkeit seiner Firewall hinzuweisen. Aber das hatten wir heute ja schon einmal.

    Näheres zum Protokoll ICMP und dem speziellen ICMP-Paket z.B. unter http://www.different-thinking.de/icmp.php.
    (Google gefüttert mit "ICMP", "time", "exceeded")

    Freundliche Grüße

    Vinzenz