[Snort-users] A new type of ICMP packet

Phil Wood cpw at ...440...
Fri May 25 12:11:30 EDT 2001


Folks,

Eight unknown ICMP's left my establishment last night at 1 second intervals.
They all looked like this:

  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  | VER=4 | IHL=5 | ROU | | | | | | Total Length = 32             |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  | Identification = 48669        | |D| | Fragment Offset = 0     |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |    TTL=10     | Protocol = 1  | Header Checksum = 3596        |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  | Source Address  = 10.0.7.54                                |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  | Destination Address  = 209.12.75.204                          |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      RFC792: INTERNET CONTROL MESSAGE PROTOCOL, September 1981
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  | Type = 2      | Code = 84     | Checksum = 32                 |
  | Unknown Type/Code                                             |
  :  029a0001  3f3f3f3f  00000000  00000000    :     ????         :
  :  00000000  0000                            :                  :
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Anyone seeing these?  Snort sees them as "ICMP Unassigned! (Type 2)".

Thanks,

Phil




More information about the Snort-users mailing list