<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>Normal Traffic???</TITLE>

<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=557273901-12102001><FONT face=Arial color=#0000ff 
size=2>checking the source of the Echo-requests would help to determine the 
nature/intention of the ICMP traffic. If it's from multiple/lots of different 
sources, it could be DDOS attempts.</FONT></SPAN></DIV>
<DIV><SPAN class=557273901-12102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=557273901-12102001><FONT face=Arial color=#0000ff size=2>you 
may also get some tools to traceback whether the source addr was 
spoofed.</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Pesek Wolfgang (Mail) 
  [mailto:WPesek@...3042...]<BR><B>Sent:</B> Friday, 12 October, 2001 03:03 
  AM<BR><B>To:</B> 'Muscat, Tyrone J.'; 
  'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> AW: [Snort-users] 
  Normal Traffic???<BR><BR></FONT></DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff size=2>This 
  looks like some host inside your network is sending large ICMP Packets ! 
  </FONT></SPAN></DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff 
  size=2>Obviously this is due to the fact that someone from the outside is 
  pinging your IP with a simple ping but a no so fine option - in that 
  case to tell ping how much bytes of data shall be sent with the 
  ECHO-REQUEST. Normally this is executed with only 8-26 
  bytes,</FONT></SPAN></DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff size=2>(if 
  i remember correctly from the great document from Ofir Arkin 
  "ICMP-Usage  Scanning" thanks for this masterpiece, by the way. I saw you 
  around this list already :-) ).</FONT></SPAN></DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff size=2>This 
  can lead to a DoS, so i´d rather block ICMP-Traffic on your firewall for a 
  time.</FONT></SPAN></DIV>
  <DIV><SPAN class=281395618-11102001><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN> </DIV>
  <DIV><FONT face=Tahoma size=2>----Ursprüngliche Nachricht-----<BR><B>Von:</B> 
  Muscat, Tyrone J. [mailto:MUSCATTJ@...3501...]<BR><B>Gesendet:</B> 
  Donnerstag, 11. Oktober 2001 20:10<BR><B>An:</B> 
  'snort-users@lists.sourceforge.net'<BR><B>Betreff:</B> [Snort-users] Normal 
  Traffic???<BR><BR></FONT></DIV>
  <BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
    <P><FONT face=Arial size=2>This traffic is coming from my internal network 
    out through my firewall.... is this normal or should I be worried....</FONT> 
    </P><BR>
    <P><FONT face=Arial size=2>[**] IDS246/dos_dos-large-icmp [**]</FONT> 
    <BR><FONT face=Arial size=2>10/11-13:59:15.554696 0:3:47:B:F0:50 -> 
    0:2:FD:1E:25:ED type:0x800 len:0x5EA</FONT> <BR><FONT face=Arial 
    size=2>xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx ICMP TTL:126 TOS:0x0 ID:12980 
    IpLen:20 DgmLen:1500 DF</FONT> <BR><FONT face=Arial size=2>Type:0  
    Code:0  ID:1080  Seq:61662  ECHO REPLY</FONT> <BR><FONT 
    face=Arial size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>00 00 00 00 00 00 00 00 
    00 00 00 00 00 00 00 00  ................</FONT> <BR><FONT face=Arial 
    size=2>00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  
    ................</FONT> <BR><FONT face=Arial size=2>.</FONT> <BR><FONT 
    face=Arial size=2>.</FONT> <BR><FONT face=Arial size=2>.</FONT> <BR><FONT 
    face=Arial size=2>.</FONT> <BR><FONT face=Arial size=2>.</FONT> </P>
    <P><B><I><FONT face=Arial size=4>Ty Muscat</FONT></I></B><I></I><FONT 
    face="Times New Roman"> </FONT><BR><B><I><FONT face=Arial>Watt 
    Regulator</FONT></I></B><I></I><FONT 
    face="Times New Roman"><BR></FONT><I></I><I><FONT face=Arial size=2>815 
    Chestnut Street</FONT></I><FONT 
    face="Times New Roman"><BR></FONT><I></I><I><FONT face=Arial size=2>North 
    Andover, MA 01845</FONT></I><FONT face="Times New Roman"> 
    </FONT><BR><I><FONT face=Arial size=2>Phone: 978-689-6036</FONT></I><FONT 
    face="Times New Roman"><BR></FONT><I></I><I><FONT face=Arial size=2>Fax: 
    978-689-6115</FONT></I><FONT face="Times New Roman"></FONT> 
</P></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>