<div>> Who cares?  My example had nothing to do with packet size for<br>> encapsulated traffic.<br><br>The OP asked about how to detect different types of tunnels, i.e. encrypted traffic.  </div>
<div> </div>
<div>Your response, i.e.:</div>
<div> </div>
<div>> Example:  a tunnel on udp port 53 SHOULD NOT HAVE A PACKER LARGER THAN</div>
<div>> 254 BYTES, as the dns rfc's on the dns query that is associated with</div>
<div>> that port should mark 'large packet', if query answer is larger than 254</div>
<div> </div>
<div>assumes that the packet length is identifiable by Snort.  How are you going to be able to distinguish between a DNS request vs. any other protocol encapsulated within an IPSEC tunnel (unless the Snort box is behind the encryption domain, but that does not address the OP's questions).
</div>
<div> </div>
<div>> Read the rfc's to get a clue.</div>
<div> </div>
<div>Ditto.  The max length for hostname for DNS query is 255, not 254 bytes, (254 bytes for FQDN, and 1 byte for the encoding dot).  And the max length you will see for DNS UDP is 512-bytes (>512-byte answers for UDP should be truncated with the TC bit set).
</div>
<div> </div>
<div>BTW- a little politeness goes a long ways.  Even if you're comparing apples to oranges, you don't have to be a prune.</div>
<div><br><span class="gmail_quote">On 3/7/06, <b class="gmail_sendername">Michael Scheidell</b> <<a href="mailto:scheidell@...5171...">scheidell@...5171...</a>> wrote:</span></div>
<div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid"><br><br>> -----Original Message-----<br>> From: <a href="mailto:snort-users-admin@...5870....net">
snort-users-admin@lists.sourceforge.net</a><br>> [mailto:<a href="mailto:snort-users-admin@lists.sourceforge.net">snort-users-admin@...4137...orge.net</a>] On Behalf Of Tom Le<br>> Sent: Monday, March 06, 2006 10:40 PM
<br>> To: Michael Scheidell<br>> Cc: Radu Spineanu; <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>> Subject: [Snort-users] Re: detecting tunnels with Snort<br>><br>
><br>> This is assuming you could discern the packet size of the<br>> encapsulated traffic...<br>><br><br>Who cares?  My example had nothing to do with packet size for<br>encapsulated traffic.<br>Read the rfc's to get a clue.
<br></blockquote></div><br>