<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-7">
<META content="MSHTML 6.00.2800.1126" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Hello dear people,</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <?xml:namespace prefix = o ns = 
"urn:schemas-microsoft-com:office:office" /><o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>For some time now I’ve been working on a preprocessor for Snort. The 
result is spp_icmpspoof.</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>This preprocessor is able to detect Spoofed ICMP ECHO Request/Reply 
packets that </FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>may exist in the inbound and outbound traffic of the network protected by 
snort.</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Furthermore it can detect inbound/outbound packets that are generated as 
an answer to a spoofed ICMP ECHO Request/Reply that took place in your internal 
traffic or someone outside your network sent somewhere else by spoofing your IP 
address. </FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>It detects spoofing when someone outside your network sends spoofed 
packets to someone outside or inside your network, spoofed packets sent from 
inside your network and other spoofing scenarios.</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Every time a spoofed packet is detected an alert is generated as well as 
a probable</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>case scenario describing the role and location of every host that took 
part in the</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>spoofing process. </FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Read the attached README file for more info.</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>It was tested on a Linux RedHat 7.3 box on a snort-1.9.1 and snort-2.0.0 
distribution. Some minor changes need to be done for snort-1.8.7. </FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>I have not tested it thoroughly, but it seems to work just 
fine.</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>This preprocessor could be a way of detecting Covert Channels, Decoy 
Traffic, Scanning-Network Mapping, OS fingerprinting, DDoS attacks and other 
attacks that make use of spoofed ICMP ECHO packets. </FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman">There is still work to be done and more features to be 
added for the future.<SPAN style="mso-spacerun: yes">  
</SPAN></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Please feel free to test it and post me your comments on this and don’t 
hesitate to ask me any questions. I’m very interested in your feedback. 
</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>The preprocessor’s files can also be found at:</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"><SPAN 
style="mso-tab-count: 1">            
<A 
href="http://www.epmhs.gr/en/snort/preprocessor_icmpspoof/">http://www.epmhs.gr/en/snort/preprocessor_icmpspoof/</A></SPAN></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT size=3><FONT 
face="Times New Roman"> <o:p></o:p></FONT></FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>Regards,</FONT></P>
<P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><FONT face="Times New Roman" 
size=3>John Papapanos (Internet Systematics 
Lab).</FONT></P></FONT></DIV></FONT></DIV></BODY></HTML>