网内出现大量icmp包，我该怎么解决？

zxr1018

用linux做的代理服务器，近来常出现网内无法通信的情况，在linux代理服务器上执行tcpdump出现如下信息，请问这些信息说明了什么情况？我该如何处理？
[root@zust-proxy root]# tcpdump -f|more
tcpdump: listening on eth0
13:51:31.631089 202.101.165.250.http >; 201.90.217.27.56007: . 1683655370:1683656
818(144 ack 3195576620 win 65081 <nop,nop,timestamp 19779281 5417223>; (DF)
13:51:31.633137 201.90.217.27>; 210.42.53.176: icmp: echo request
13:51:31.634105 201.90.217.27>; 172.15.145.17: icmp: echo request
13:51:31.634119 201.90.217.27.32821 >; 211.90.216.129.domain:  29693+ PTR? 67.227
.90.211.in-addr.arpa. (44) (DF)
13:51:31.635457 arp who-has 172.16.75.161 tell 172.16.16.61
13:51:31.635954 211.90.216.129.domain >; 201.90.217.27.32821:  29693 NXDomain 0/1
/0 (103)
13:51:31.639347 arp who-has 172.16.154.49 tell 172.16.16.25
13:51:31.640202 201.90.217.27>; 202.208.209.216: icmp: echo request
13:51:31.642674 201.90.217.27>; 210.42.53.177: icmp: echo request
13:51:31.643879 arp who-has 172.16.4.236 tell 172.16.253.253
13:51:31.648067 arp who-has 172.16.4.237 tell 172.16.253.253
13:51:31.648292 201.90.217.27>; 172.15.145.18: icmp: echo request
13:51:31.650456 201.90.217.27.1151 >; 61.153.8.50.4230: . ack 3699920800 win 8760
(DF)
13:51:31.651077 arp who-has 172.16.75.162 tell 172.16.16.61
13:51:31.652638 201.90.217.27>; 210.42.53.178: icmp: echo request
13:51:31.654985 arp who-has 172.16.154.50 tell 172.16.16.25
13:51:31.656195 201.90.217.27>; 61.40.15.133: icmp: echo request
13:51:31.657797 218.25.10.19.1806 >;201.90.217.27.1454: . 3289756086:3289757546(
1460) ack 1807390219 win 65535 (DF)
13:51:31.657914 arp who-has 172.16.4.238 tell 172.16.253.253
13:51:31.659016 218.25.10.19.1806 >; 201.90.217.27.1454: . 1460:2920(1460) ack 1
win 65535 (DF)
13:51:31.659910 218.25.10.19.1806 >; 201.90.217.27.1454: P 2920:4096(1176) ack 1
win 65535 (DF)
13:51:31.662718 201.90.217.27>; 210.42.53.179: icmp: echo request
13:51:31.662732 201.90.217.27.1454 >; 218.25.10.19.1806: . ack 2920 win 17520 (DF
)
13:51:31.663941 201.90.217.27>; 172.15.145.19: icmp: echo request
13:51:31.663521 202.101.165.250.http >; 201.90.217.27.56007: . 1448:2896(144 ac
k 1 win 65081 <nop,nop,timestamp 19779281 5417240>; (DF)
13:51:31.664022 201.90.217.27.56007 >; 202.101.165.250.http: . ack 2896 win 63712
<nop,nop,timestamp 5417266 19779281>; (DF)
13:51:31.664749 202.101.165.250.http >; 201.90.217.27.56007: . 2896:4344(144 ac
k 1 win 65081 <nop,nop,timestamp 19779281 5417240>; (DF)
13:51:31.666715 arp who-has 172.16.75.163 tell 172.16.16.61
13:51:31.667921 arp who-has 172.16.4.239 tell 172.16.253.253
13:51:31.668562 202.101.165.250.http >; 201.90.217.27.56007: . 4344:5792(144 ac
k 1 win 65081 <nop,nop,timestamp 19779281 5417242>; (DF)
13:51:31.668612 201.90.217.27.56007 >; 202.101.165.250.http: . ack 5792 win 63712
<nop,nop,timestamp 5417268 19779281>; (DF)
13:51:31.669722 202.101.165.250.http >; 201.90.217.27.56007: . 5792:7240(144 ac
k 1 win 65081 <nop,nop,timestamp 19779281 5417242>; (DF)
13:51:31.670565 arp who-has 172.16.154.51 tell 172.16.16.25
13:51:31.672646 201.90.217.27>; 210.42.53.180: icmp: echo request
13:51:31.674146 201.90.217.27>; 61.72.125.20: icmp: echo request
13:51:31.675572 202.101.165.250.http >; 201.90.217.27.56007: . 7240:8688(144 ac
k 1 win 65081 <nop,nop,timestamp 19779282 5417246>; (DF)
13:51:31.675624 201.90.217.27.56007 >; 202.101.165.250.http: . ack 8688 win 63712
<nop,nop,timestamp 5417272 19779281>; (DF)
13:51:31.676795 202.101.165.250.http >; 201.90.217.27.56007: . 8688:10136(144 a
ck 1 win 65081 <nop,nop,timestamp 19779282 5417246>; (DF)
13:51:31.678004 202.101.165.250.http >; 201.90.217.27.56007: . 10136:11584(144
ack 1 win 65081 <nop,nop,timestamp 19779282 5417247>; (DF)
13:51:31.678050 201.90.217.27.56007 >; 202.101.165.250.http: . ack 11584 win 6371
2 <nop,nop,timestamp 5417273 19779282>; (DF)
13:51:31.678627 arp who-has 172.16.4.240 tell 172.16.253.253
13:51:31.679296 202.101.165.250.http >; 201.90.217.27.56007: . 11584:13032(144
ack 1 win 65081 <nop,nop,timestamp 19779282 5417247>; (DF)
13:51:31.680502 202.101.165.250.http >; 201.90.217.27.56007: . 13032:14480(144
ack 1 win 65081 <nop,nop,timestamp 19779282 5417249>; (DF)
13:51:31.680551 201.90.217.27.56007 >; 202.101.165.250.http: . ack 14480 win 6371
2 <nop,nop,timestamp 5417274 19779282>; (DF)
13:51:31.681721 202.101.165.250.http >; 201.90.217.27.56007: . 14480:15928(1448)
ack 1 win 65081 <nop,nop,timestamp 19779282 5417249>; (DF)
13:51:31.683222 201.90.217.27>; 210.42.53.181: icmp: echo request
13:51:31.682284 arp who-has 172.16.75.164 tell 172.16.16.61
13:51:31.686267 201.90.217.27 >; 172.15.145.20: icmp: echo request
13:51:31.686558 arp who-has 172.16.154.52 tell 172.16.16.25
13:51:31.687155 201.90.217.27>; 200.83.43.9: icmp: echo request
13:51:31.687999 arp who-has 172.16.4.241 tell 172.16.253.253
13:51:31.692752 201.90.217.27>; 210.42.53.182: icmp: echo request
13:51:31.695226 201.90.217.27>; 172.15.145.21: icmp: echo request
13:51:31.683222 201.90.217.27>; 210.42.53.181: icmp: echo request
13:51:31.682284 arp who-has 172.16.75.164 tell 172.16.16.61
13:51:31.686267 201.90.217.27>; 172.15.145.20: icmp: echo request
13:51:31.686558 arp who-has 172.16.154.52 tell 172.16.16.25
13:51:31.687155 201.90.217.27>; 200.83.43.9: icmp: echo request
13:51:31.687999 arp who-has 172.16.4.241 tell 172.16.253.253
13:51:31.692752 201.90.217.27>; 210.42.53.182: icmp: echo request
13:51:31.695226 201.90.217.27>; 172.15.145.21: icmp: echo request
13:51:31.698000 arp who-has 172.16.75.165 tell 172.16.16.61
13:51:31.698058 arp who-has 172.16.4.242 tell 172.16.253.253
13:51:31.702763 201.90.217.27>; 210.42.53.183: icmp: echo request
13:51:31.701824 arp who-has 172.16.154.53 tell 172.16.16.25
13:51:31.703526 201.90.217.27>; 210.184.166.216: icmp: echo request
13:51:31.708298 arp who-has 172.16.4.243 tell 172.16.253.253
13:51:31.710728 201.90.217.27>; 172.15.145.22: icmp: echo request
13:51:31.712784 201.90.217.27>; 210.42.53.184: icmp: echo request

流浪的狗

估计你的网内某些机器有病毒了，赶紧杀毒吧。

cgweb

毒名称：I-Worm/Chian
病毒长度：10240字节
截获的文件名称：dllhost.exe
感染系统：Windows XP,Windows 2000
传播途径：利用微软的多重漏洞：
(1)利用“冲击波网络蠕虫漏洞”：利用TCP 端口135,该漏洞补丁是微软Microsoft Security Bulletin MS03-026，“冲击波杀手”也利用该漏洞。攻击的系统是Windows XP;
(2)利用Microsoft Security Bulletin MS03-007漏洞，在TCP的80端口，利用WebDav漏洞，攻击的对象是开放了浏览端口WEB（80)的运行微软IIS5.0的机器。
和“冲击波病毒I-Worm/Blaster”的关系：
从微软的网站自动下载并安装DCOM RPC漏洞补丁，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，接着重新启动计算机。
感染方式：发送ICMP响应信号，或者发送PING命令来探测互连网上存在的机器，利用在135端口存在的漏洞来发送病毒文件。
症状：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe。
后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。
2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .
影响的端口：TCP 135,TCP 80.
病毒具体特征：
当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。

病毒文字特征：

该病毒体内保存字符串：
============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来），注意：2004年自己将自动删除。

同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe.
创建系统进程：RpcTftpd,显示名称为：Network Connections Sharing(网络连接共享)；指向的路径是：系统SYSTEM目录下wins下的文件svchost.exe。该服务被设置成手动启动；
同时也设置另外的服务名称：RpcPatch,服务显示的文件名字是：WINS Client,指向的路径是：系统SYSTEM目录下wins下的文件dllhost.exe.该进程就是病毒的主进程，被设置成自动启动，因此当系统启动后，该病毒能自动运行。接着该病毒会自动结束系统进程里的冲击波病毒Msblast,同时删除SYSTEM目录下的冲击波病毒文件msblast.exe.
该网络蠕虫会自动随着冲击波病毒传播的方向（感染了冲击波的机器）来传播、清除“冲击波病毒”。寻找机器采用两种方式：
（1）如果感染的机器的地址是1.2.3.4(只是示范例子），那么病毒会自动从该段的地址1.2.0.0开始搜索，一直到1.2.255.255.
(2)以病毒体内内置的方式产生随机可攻击的机器。
搜索到指定的机器后，该病毒首先采用最简单的PING命令或者ICMP响应协议来判断该机器是否存在于网络上，而且该机器是否开机，如果检测到该机器开机，然后对该机器通过TCP 135端口利用DCOM RPC漏洞（冲击波利用的漏洞）；或者通过另外的WebDav漏洞（端口是TCP的80端口）。如果这些条件满足，病毒能在攻击者和受害机器间建立连接，并能使受感染的机器接受外界的指令。启动TFTP的服务，引导存在漏洞的机器从发起攻击的机器上下载病毒文件dllhost.exe 和FTP文件svchost.exe(如果机器上有该文件的话，则不下载该文件）检查系统的操作系统版本、补丁号、系统表明所属的区域，并自动连接到微软的UPDATE网站自动下载DCOM RPC漏洞补丁包（从根本上可防止冲击波病毒），该病毒还自动重新机器，以使得该DCOM RPC补丁包自动有效。
当系统的日期是2004年，该蠕虫会自动设置失效。这点从以上的英文文字描述中可见一斑。

更多信息，请随时关注江民科技网站http://www.jiangmin.com或致电010-82511177