<html xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1253">
<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 9">
<meta name=Originator content="Microsoft Word 9">
<link rel=File-List href="./spp_icmpspoof.README_files/filelist.xml">
<title>Snort Preprocessor Plugin spp_icmpspoof</title>
<!--[if gte mso 9]><xml>
 <o:DocumentProperties>
  <o:Author>John</o:Author>
  <o:LastAuthor>John</o:LastAuthor>
  <o:Revision>3</o:Revision>
  <o:TotalTime>25</o:TotalTime>
  <o:Created>2003-04-18T12:38:00Z</o:Created>
  <o:LastSaved>2003-04-18T12:41:00Z</o:LastSaved>
  <o:Pages>3</o:Pages>
  <o:Words>822</o:Words>
  <o:Characters>4686</o:Characters>
  <o:Company>Internet Systematic Lab</o:Company>
  <o:Lines>39</o:Lines>
  <o:Paragraphs>9</o:Paragraphs>
  <o:CharactersWithSpaces>5754</o:CharactersWithSpaces>
  <o:Version>9.2812</o:Version>
 </o:DocumentProperties>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:Zoom>75</w:Zoom>
  <w:DrawingGridHorizontalSpacing>6 pt</w:DrawingGridHorizontalSpacing>
  <w:DisplayHorizontalDrawingGridEvery>2</w:DisplayHorizontalDrawingGridEvery>
  <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery>
 </w:WordDocument>
</xml><![endif]-->
<style>
<!--
 /* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0cm;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";
        mso-ansi-language:EN-US;}
p.MsoBodyTextIndent, li.MsoBodyTextIndent, div.MsoBodyTextIndent
        {margin:0cm;
        margin-bottom:.0001pt;
        text-indent:24.0pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";
        mso-ansi-language:EN-US;}
p.MsoBodyTextIndent2, li.MsoBodyTextIndent2, div.MsoBodyTextIndent2
        {margin-top:0cm;
        margin-right:0cm;
        margin-bottom:0cm;
        margin-left:30.0pt;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";
        mso-ansi-language:EN-US;}
p.MsoBodyTextIndent3, li.MsoBodyTextIndent3, div.MsoBodyTextIndent3
        {margin-top:0cm;
        margin-right:0cm;
        margin-bottom:0cm;
        margin-left:36.0pt;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";
        mso-ansi-language:EN-US;}
@page Section1
        {size:21.0cm 842.0pt;
        margin:70.9pt 4.0cm 72.0pt 4.0cm;
        mso-header-margin:35.45pt;
        mso-footer-margin:35.45pt;
        mso-paper-source:0;}
div.Section1
        {page:Section1;}
-->
</style>
</head>

<body lang=EN-GB style='tab-interval:36.0pt'>

<div class=Section1>

<p class=MsoNormal align=center style='text-align:center'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Snort Preprocessor Plugin
spp_icmpspoof.c,v 1.0 01/04/2003<o:p></o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><span lang=EN-US>Source:
<a href="http://www.lab.epmhs.gr/en/snort/preprocessor_icmpspoof/">http://www.lab.epmhs.gr/en/snort/preprocessor_icmpspoof/</a></span></p>

<p class=MsoNormal align=center style='margin-left:108.0pt;text-align:center'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>John Papapanos (Internet
Systematics Lab)<o:p></o:p></span></p>

<p class=MsoNormal align=center style='text-align:center'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>contact:
jpa3nos@...1264...<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>## PURPOSE ##<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>This preprocessor does statefull inspection, detecting spoofed ICMP
ECHO Request/Reply packets entering or leaving the protected network(s). <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Furthermore it detects packets entering or leaving your network that
are generated as a result to spoofed packets that did not pass through the
Sensor.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>(eq. If someone outside your network sent a Request to another non existing
outside host, by spoofing the IP address of a host inside your network. The
Unreachable packet entering your network will generate an alert).<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>spp_icmpspoof aims at detecting attacks such as Decoy Traffic, Os
Fingerprinting, Scanning-Network Mapping, DDoS attacks, Covert Channels and
others that make use of spoofed ICMP ECHO packets.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>## EFFECT ##<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>It detects packets sent from external hosts to your network, spoofing
the <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Source IP of a host outside your network, a packet sent form an
external <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>host to another external host spoofing the IP address of a host from
your <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>network and other spoofing scenarios.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Outputs an alert and a probable corresponding scenario for the alert
generated.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt;text-indent:-30.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>-- Note --<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>It wont detect the case when
an internal host sends a spoofed Echo 8 to another internal host using the
source ip of an external host, if the sensor running snort is able to listen to
the internal traffic of your network in promiscuous mode. In this case if the
spoofed host exists then the spoofing wont be detected, if the spoofed host
doesn't exist then the spoofing will be detected but a wrong scenario case will
be generated.<o:p></o:p></span></p>

<p class=MsoBodyTextIndent2><span lang=EN-US style='font-size:14.0pt;
mso-bidi-font-size:12.0pt'>The best topology is to place snort where it can
listen only to the traffic going in and out of your protected nets.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Logs the alerts about the spoofing in a specified log dir/file (or the
default)<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>as well as a probable scenario case, describing how the spoofing took
place<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>concerning the hosts that took part in the whole process.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>## HOW IT WORKS ##<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Currently detects only spoofed Echo Requests packets, when it fails to
match them with a captured Echo Reply or captured ICMP Unreachables codes
0/1,13, that contain an Echo Request or an Echo Reply packet into their data.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>As a result of this it will detect spoofed Echo Replies too.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>To do this the preprocessor stores the required info (src ip , dst ip
,time of packet's arrival) of all the inbound and outbound Icmp Echo Requests
packets in 2 identical lists, one for the inbound and one for the outbound Echo
Requests. <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>When a packet that is supposed to be an answer to an Echo Request
packet arrives, it will be checked, in order for a matching stored Echo Request
to be found in the corresponding list.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Each of the 2 lists used to store the Echo Requests is a 2 dimensional,
circular dynamic linked list.<o:p></o:p></span></p>

<p class=MsoBodyTextIndent3 style='margin-left:0cm'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The first dimension of the
list holds the senders of the Echo Requests. Every such node has a pointer to a
list of the receivers of the Echo Requests this sender has sent to. The
receivers form the 2nd dimension of the list.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Each sender can be found only once in the list. Each receiver of a
sender can also be found only once in the list.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Every node on each dimension points to the next and the previous node.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>The next node pointer, of the last node of each dimension, points to
NULL and the previous node pointer of the first node of each dimension, points
to the last node of this dimension.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>## ARGUMENTS ##<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>It takes up to 3 arguments space character delimited.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style='mso-tab-count:1'>          </span><o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>preprocessor
icmpspoof:<Protected Net(s)> <Timeout> <Logfile> <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Protected Net(s)<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The network (written
in CIDR notation), you wish to check for spoofed <o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>ICMP packets<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>You can use
multiple networks separated by ",".<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>You can use the
var HOME_NET (IP Lists supported), don't use "any".<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Timeout (optional)<span style='mso-tab-count:1'> </span><o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The number of seconds you
wish an icmp echo request packet to be held stored in the lists. Meaning the
maximum number of seconds that you expect an Echo Reply or an Icmp Error for an
Echo Request.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Bigger value <->
larger time processing, more memory used.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Default value is 3 seconds.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Logdir (optional)<span style='mso-tab-count:1'>   </span><o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The directory/file the
preprocessor should log the alerts.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The directory must exist.<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:18.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>The default logging filename
is EchoSpoofs and logging dir will be the pv.logdir given in the command line
by -l when running snort. If no -l is given then the default dir is the one
that snort logs in (eq. /var/log/snort/)<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>--Note--<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>If you want to use the default timeout value and log in a file of your
choice <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>then declare a timeout value 0 and the default will be used.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>--Examples--<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span>1) preprocessor
icmpspoof:192.168.100.100/24,192.100.0.10/24 3 /var/log/Spoofs <o:p></o:p></span></p>

<p class=MsoBodyTextIndent2><span lang=EN-US style='font-size:14.0pt;
mso-bidi-font-size:12.0pt'>Configured like this uses a user defined timeout
value and a user defined logdir. <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span>2) preprocessor
icmpspoof:192.168.100.100/24 <o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-6.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Configured like
this uses default timeout and default logdir. <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span>3) preprocessor icmpspoof:192.168.100.100/24
0 /var/log/Spoofs<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-6.0pt'><span
lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Configured like
this uses default timeout and user defined logdir. <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span>4) preprocessor
icmpspoof:192.168.100.100/24 4 <o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Configured like this uses a
user defined timeout value and default <o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>logdir. <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span>5) preprocessor
icmpspoof:$HOME_NET 4 /var/log/Spoofs<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>Configured like this uses
the nets specified in the var HOME_NET,<o:p></o:p></span></p>

<p class=MsoNormal style='margin-left:30.0pt'><span lang=EN-US
style='font-size:14.0pt;mso-bidi-font-size:12.0pt'>It can be an IP list , but
it can't be "any".<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>## TODO ##<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>* The plan for the future is to detect more types of spoofed icmp
packets and use more types and codes of icmp error messages to check if
spoofing occurs.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><span style="mso-spacerun: yes"> </span><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>* Improvement of the alert mechanism. More detailed scenarios for
spoofed <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>Icmp Reply packets.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>* Every alert in the logfile is quite large and maybe the case scenario
could<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'>reside in a different file and be pointed by the alert mechanism.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US style='font-size:14.0pt;mso-bidi-font-size:
12.0pt'><![if !supportEmptyParas]> <![endif]><o:p></o:p></span></p>

</div>

</body>

</html>