forum.opennet.ru - "Snort+'ICMP Echo Reply'" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Snort+'ICMP Echo Reply'"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Snort+'ICMP Echo Reply'"
Сообщение от Сергей on 13-Дек-01, 11:12 (MSK)
Что за фигня, логи снорта ну прям завалены дампами 'ICMP Echo Reply'. Эти дампы идут с разных ip-ов и в основном с сайтов по которым народ лазит может кто сталкивался и объяснит что это?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Snort+'ICMP Echo Reply', lavr, 21:11 , 13-Дек-01, (1)
- RE: Snort+'ICMP Echo Reply', alice, 21:39 , 18-Дек-01, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Snort+'ICMP Echo Reply'"

Сообщение от lavr on 13-Дек-01, 21:11 (MSK)

>Что за фигня, логи снорта ну
>прям завалены дампами
>'ICMP Echo Reply'. Эти дампы идут
>с разных ip-ов и в
>основном с сайтов по которым
>народ лазит может кто сталкивался
>и объяснит что это?
ну так они небось научились выполнять ping
или traceroute... (пользователи в смысле)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Snort+'ICMP Echo Reply'"

Сообщение от alice on 18-Дек-01, 21:39 (MSK)

>ну так они небось научились выполнять
>ping
>или traceroute... (пользователи в смысле)
следует также заметить, что если эти реплаи идут от совершенно левых маловразумительных хостов, каких-нибудь заштатных буржуйских университетов например, то это может быть признаком неприятной вещи -- Smurf'оподобной атаки. Про Смурф читать можно тут: http://www.cert.org/advisories/CA-1998-01.html или в более приличном месте.
меня что в вашем рассказе смущает.... никогда не пользовалась снортом, но неужели это настоль тупая IDS, что ее нельзя настроить таким образом, чтобы она "пропускала мимо ушей" ICMP Echo Reply'и, пришедшие в ответ на ICMP Echo Request, и орала на незапрошенные Reply'и???
кстати, lavr, traceroute виндозный (ICMP-style) практически не создает ICMP Echo трафика, а "староюниксовый" (UDP-style) не создает его вовсе ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Snort+'ICMP Echo Reply'"
Сообщение от lavr on 13-Дек-01, 21:11 (MSK)
>Что за фигня, логи снорта ну >прям завалены дампами >'ICMP Echo Reply'. Эти дампы идут >с разных ip-ов и в >основном с сайтов по которым >народ лазит может кто сталкивался >и объяснит что это? ну так они небось научились выполнять ping или traceroute... (пользователи в смысле)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Snort+'ICMP Echo Reply'"
	Сообщение от alice on 18-Дек-01, 21:39 (MSK)
	>ну так они небось научились выполнять >ping >или traceroute... (пользователи в смысле) следует также заметить, что если эти реплаи идут от совершенно левых маловразумительных хостов, каких-нибудь заштатных буржуйских университетов например, то это может быть признаком неприятной вещи -- Smurf'оподобной атаки. Про Смурф читать можно тут: http://www.cert.org/advisories/CA-1998-01.html или в более приличном месте. меня что в вашем рассказе смущает.... никогда не пользовалась снортом, но неужели это настоль тупая IDS, что ее нельзя настроить таким образом, чтобы она "пропускала мимо ушей" ICMP Echo Reply'и, пришедшие в ответ на ICMP Echo Request, и орала на незапрошенные Reply'и??? кстати, lavr, traceroute виндозный (ICMP-style) практически не создает ICMP Echo трафика, а "староюниксовый" (UDP-style) не создает его вовсе ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх