#8 Du skal holde tungen lige i munden, når du taler om trafik. Der er indgående, udgående og internt trafik. Alle dine enheder internt på dit lokalnet, har ip-adresser, der ikke er "routable".
https://www.arin.net[...]
D.v.s. man ikke udefra internettet kan pinge din lokale pc, der f.eks. har ip-adressen 192.168.1.2
Udefra kan man altså ikke på magisk vis sende en ICMP-pakke til din lokale pc med virus, der så inficere din PC.
ICMP-hacket handler om, at kommunikation initieres fra din PC. Altså at din PC er inficeret med en virus, der bruger ICMP til at sende data ud af dit netværk. For at det kan ske, skal din PC være inficeret med noget malware, der har "konfigureret" din PC til at gøre det. Der skal være installeret noget "software", der benytter ICMP-teknikken. Men igen - det handler om trafik, der initieres af din PC og sender data ud af dit netværk til en ekstern IP-adresse, der er "Routable". Det kan selvfølgelig også være til andre ip-adresser internt på dit netværk, men i sidste ende skal der formentlig ske kommunikation ud af netværket, til en bandit ude på nettet.
Hvis jeg var i tvivl om denne teknik blev brugt, ville jeg lave en regel i firewallen, der blokere al
udgående ICMP-trafik og lade reglen være aktiv i et par dage. Herefter ville jeg se, om reglen er blevet brugt via hit-count. Eventuelt lave regler for hver intern IP-adresse, der blokere udgående ICMP-trafik fra den interne ip-adresse. Så man kan se, hvilke enheder, der initiere trafikken.
--