<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>ICMP PING speedera</TITLE>

<META content="MSHTML 5.50.4725.2100" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=703020516-19072002><FONT face=Arial color=#0000ff size=2>IMHO 
these rules are usefull in identifying specific programs doing the pinging. My 
first thought woudl be monitoring applications. I had this when I began runnign 
my IPCheck utility on my IDS subnet. The alert was "Delphi Ping". I used 
Foundstones "bintext' utility to search for teh text string in all binaries in 
the offending server, which picked up the string in my 
ipcheck.exe.</FONT></SPAN></DIV>
<DIV><SPAN class=703020516-19072002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=703020516-19072002><FONT face=Arial color=#0000ff 
size=2>hth,</FONT></SPAN></DIV>
<DIV><SPAN class=703020516-19072002><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=703020516-19072002><FONT face=Arial color=#0000ff size=2>John 
Hicks</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> L. Christopher Luther 
  [mailto:CLuther@...6333...]<BR><B>Sent:</B> Friday, July 19, 2002 11:56 
  AM<BR><B>To:</B> 'snort-users@lists.sourceforge.net'<BR><B>Subject:</B> 
  [Snort-users] ICMP PING speedera<BR><BR></FONT></DIV>
  <P><FONT size=2></FONT> <BR><FONT size=2>-----BEGIN PGP SIGNED 
  MESSAGE-----</FONT> <BR><FONT size=2>Hash: SHA1</FONT> </P>
  <P><FONT size=2>Can anyone give me a good definition of what exactly a "ICMP 
  PING</FONT> <BR><FONT size=2>speedera" is?  Snort on is detecting *many* 
  of these types of pings</FONT> <BR><FONT size=2>against my web server.  
  </FONT></P>
  <P><FONT size=2>All activity is originating from different hosts during each 
  scan</FONT> <BR><FONT size=2>cycle, but the same group of hosts is repeated 
  during each cycle. </FONT><BR><FONT size=2>See below for a sample of this 
  activity:</FONT> </P>
  <P><FONT size=2>07/19/02-10:25:02.329385  [**] [1:480:2] ICMP PING 
  speedera [**]</FONT> <BR><FONT size=2>[Classification: Misc activity] 
  [Priority: 3] {ICMP} 64.14.117.10 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.339568  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 206.65.183.55 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.347032  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 65.114.157.130</FONT> <BR><FONT size=2>- 
  -> 10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.352278  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 64.15.251.198 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.353595  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 208.185.54.14 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.362706  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 204.253.104.235</FONT> <BR><FONT size=2>- 
  -> 10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.376253  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 63.238.125.34 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.386243  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 64.0.96.12 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.397752  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 212.62.17.145 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.404776  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 204.176.88.5 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.420922  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 65.119.25.162 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-10:25:02.454157  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 213.61.6.2 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> </P>
  <P><FONT size=2>07/19/02-11:37:55.348729  [**] [1:480:2] ICMP PING 
  speedera [**]</FONT> <BR><FONT size=2>[Classification: Misc activity] 
  [Priority: 3] {ICMP} 64.14.117.10 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.359533  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 206.65.183.55 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.362571  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 65.114.157.130</FONT> <BR><FONT size=2>- 
  -> 10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.366961  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 208.185.54.14 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.369756  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 64.15.251.198 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.377139  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 204.253.104.235</FONT> <BR><FONT size=2>- 
  -> 10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.402405  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 64.0.96.12 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.404888  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 212.62.17.145 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.425166  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 204.176.88.5 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.453302  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 65.119.25.162 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> <BR><FONT size=2>07/19/02-11:37:55.464767  [**] 
  [1:480:2] ICMP PING speedera [**]</FONT> <BR><FONT size=2>[Classification: 
  Misc activity] [Priority: 3] {ICMP} 213.61.6.2 -></FONT> <BR><FONT 
  size=2>10.x.x.x</FONT> </P><BR>
  <P><FONT size=2>Sincerely,  </FONT></P>
  <P><FONT size=2>L. Christopher Luther  </FONT><BR><FONT size=2>Technology 
  Manager  </FONT><BR><FONT size=2>Xybernaut Solutions, Inc.  
  </FONT><BR><FONT size=2>(703) 506-0400 x230  </FONT><BR><FONT 
  size=2>cluther@...6331...  </FONT><BR><FONT size=2><A target=_blank 
  href="http://www.xybernautsolutions.com">http://www.xybernautsolutions.com</A>  
  </FONT></P>
  <P><FONT size=2>My PGP Public Key:  </FONT><BR><FONT size=2><A 
  target=_blank 
  href="http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88">http://keyserver.pgp.com/pks/lookup?op=get&search=0x21261B88</A></FONT> 
  </P>
  <P><FONT size=2>CONFIDENTIALITY NOTE:  This communication contains 
  </FONT><BR><FONT size=2>information that is confidential and/or legally 
  privileged.  </FONT><BR><FONT size=2>This information is intended only 
  for the use of the individual </FONT><BR><FONT size=2>or entity named on this 
  communication. If you are not the </FONT><BR><FONT size=2>intended recipient, 
  you are hereby notified that any disclosure, </FONT><BR><FONT size=2>copying, 
  distribution, printing or other use of, or any action </FONT><BR><FONT 
  size=2>in reliance on, the contents of this communication is strictly 
  </FONT><BR><FONT size=2>prohibited.  If you receive this communication in 
  error, please </FONT><BR><FONT size=2>immediately notify us by telephone at 
  (703) 506-0400. </FONT></P>
  <P><FONT size=2>- 
  ------------------------------------------------------------</FONT> <BR><FONT 
  size=2>Unsolicited commercial e-mail will automatically be reported</FONT> 
  <BR><FONT size=2>to the appropriate abuse@ - without exception.</FONT> 
  <BR><FONT size=2>- 
  ------------------------------------------------------------</FONT> </P>
  <P><FONT size=2>-----BEGIN PGP SIGNATURE-----</FONT> <BR><FONT size=2>Version: 
  PGP 7.1.1</FONT> </P>
  <P><FONT 
  size=2>iQA/AwUBPTg2pau/XM0hJhuIEQJptQCg15BOhF3YIVTaJBp7H69Of5XSNrIAn2G8</FONT> 
  <BR><FONT size=2>evAYtpvA+WSilrl6CwKuX+Oh</FONT> <BR><FONT size=2>=lUhN</FONT> 
  <BR><FONT size=2>-----END PGP SIGNATURE-----</FONT> 
</P></BLOCKQUOTE></BODY></HTML>