Hi Waldo,<br><br>     Got it.<div> </div><div>     Thanks for the satisfactory explanation.</div><div><br></div><div>     Lesson : Don't interrupt if that is not interrupting you !!</div><div><br></div><div>-- <br><b>Cheers,<br>
Mayur</b><span style="font-weight:bold">.</span><br><br><div class="gmail_quote">On Fri, Jul 19, 2013 at 10:22 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14511...940...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 7/19/2013 05:18, Mayur Patil wrote:<br>
> Hello,<br>
><br>
>      I am unable to recognize the IP when I run snort in NIDS mode.<br>
><br>
</div>> *<a href="http://192.168.10.121:56333" target="_blank">192.168.10.121:56333</a> -> 224.0.0.252:5355* UDP TTL:1 TOS:0x0 ID:18058 IpLen:20 DgmLen:50<br>
<div class="im">>      =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
><br>
>      07/19-14:45:25.191751 00:22:19:06:B9:1C -> FF:FF:FF:FF:FF:FF type:0x800 len:0x5C<br>
</div>> *<a href="http://10.1.11.172:137" target="_blank">10.1.11.172:137</a> -> 10.1.11.255:137* UDP TTL:128 TOS:0x0 ID:15751 IpLen:20 DgmLen:78<br>
<div class="im">>      +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
><br>
>      07/19-14:45:25.194146 B8:AC:6F:45:F8:23 -> FF:FF:FF:FF:FF:FF type:0x800 len:0xF3<br>
</div>> *<a href="http://10.1.47.230:138" target="_blank">10.1.47.230:138</a> -> 10.1.47.255:138* UDP TTL:128 TOS:0x0 ID:5740 IpLen:20 DgmLen:229<br>
<div class="im">><br>
>       My admin says it is from other IP range within proxy then why they are<br>
> bombarding on my system unintentionally ??<br>
<br>
</div>they are not "bombarding" your system... they are broadcasts...<br>
<br>
the 224.0.0.252 address is a multicast address... see the following link for<br>
more information... <a href="http://en.wikipedia.org/wiki/Multicast_address" target="_blank">http://en.wikipedia.org/wiki/Multicast_address</a> then find the<br>
252 one in the chart and follow that link for more specific info on that<br>
particular entry...<br>
<br>
the ones to 10.1.11.255 are specifically NETBIOS/NETBEUI queries to see what<br>
samba/windows_networking clients are active so they can be shows in the network<br>
neighborhood type displays... they also have elections between them to decide<br>
which will be the "browse master" and tell the others what machines are active<br>
and where they are located (ip)...<br>
<div class="im"><br>
>      How to stop them from interacting my system?<br>
<br>
</div>you cannot stop them... the best you could do would be to firewall your machine<br>
from them... one might do this by blocking all traffic to 10.1.11.255 but this<br>
may very easily break other stuff you desire to work... one might block traffic<br>
to/from ports 137, 138 and 445 but again, that might break other stuff that you<br>
desire to work...<br>
<br>
<br>
it is amazing what one starts to find when one starts looking at the network<br>
traffic one's machine is really transmitting/receiving, isn't it? i remember<br>
when many folks switched from single-task DOS to multitask networking capable<br>
windows and how they were always asking why is the light on the<br>
hub/switch/router blinking when i'm not doing anything... same with the HD light<br>
on the computer case... just because a human isn't doing something doesn't mean<br>
that the computer isn't talking to something else or performing some system<br>
maintenance ;)<br>
<div class="im"><br>
<br>
><br>
>       Any hints !!<br>
><br>
>       Seeking for guidance,<br>
><br>
>       Thanks !!<br></div></blockquote></div><br></div>