sslug-teknik team mailing list archive

Thread
Date

Re: ICMP message type destination unreachable - bad port from 127.0.0.1

To: sslug-teknik@xxxxxxxx
From: Kim Nielsen <knielsen@xxxxxxxxxxxxxxxxxxxxxxx>
Date: 06 Feb 2002 09:02:12 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <a3p5ac$o6b$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

On Tue, 2002-02-05 at 18:41, merlin wrote:
> 
> Possible Security Violations
> =-=-=-=-=-=-=-=-=-=
> Feb  5 04:02:06 hal ippl: ICMP message type destination unreachable - bad
> port from 127.0.0.1
> Feb  5 04:02:06 hal ippl: ICMP message type destination unreachable - bad
> port from 127.0.0.1
> 

Noget kunne tyde på at du får en icmp type 3 kode 3 som betyder at du
har forsøgt at få fat en en port som ikke er der ..
(http://www.iana.org/assignments/icmp-parameters)

hvis du vil debugge det så kan du gøre følgende:

tcpdump -x -s 200 -p -n -i eth0 host <din maskines ip>

når du ser pakken (med port unreachable) gør du følgende:

(Pakken er ikke magen til din men indeholder de samme felter)

08:00:03.943549 195.215.106.189 > <din maskines ip>: icmp: Port
Unreachable
0-15			 4500 0038 0000 0000 f901 892e c3d7 6abd
16-31			 0a00 0002 0b00 45b8 0000 0000 4500 004a
32-47			 be49 4000 0111 1f84 0a00 0002 c3c0 ce13
48-			 8000 0035 0036 2edc

byte 40-44 (32bit) er afsenders ip (I mit tilfælde 0a00 0002 = 10.0.0.2)
byte 44-48 af modtagers ip (I mit tilfælde c3c0 ce13 = 195.192.206.19)

Porten som den sender fra (Client port/Source port)
og porten den prøver at få fat i er 50+51 (16 bit) i mit tilfælde 53

icmp pakken indeholder nemlig information om hvorfor denne icmp pakke
bliver sendt og hvad den forsøgte at gøre.

Håber det kan hjælpe

/Kim

References

ICMP message type destination unreachable - bad port from 127.0.0.1
From: merlin, 2002-02-05