[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:3786] Re: BAD TRAFFIC same SRC/DST

To: connect24h@xxxxxxxxxx
Subject: [connect24h:3786] Re: BAD TRAFFIC same SRC/DST
From: "shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>
Date: Wed, 17 Apr 2002 19:18:27 +0900

しかＰ＠うそついた、です。

At 7:05 PM +0900 02.4.17, shikap@xxxxxxxxxxxx wrote:
>十中八九偽装パケットで、UDP|ICMPかな？
>DoS攻撃か何か、場合によってはexploit撃ちこんであとから侵入？
>＃TCPじゃまっとうに通信できない->コネクションレスな通信だろう
>＃応答をみることができない->撃ちっぱなしか撃ち込んであとで収穫か

んなわけないです。SRC/DSTが同じで、なおかつ監視ネットワークが203.bbb.ccc.0/25
なんだから、ターゲットはホストじゃないと思われ。
＃ホストはみんなそういったのを無視しちゃうよなぁ。
＃arpスプーフ？ルータ越えるのつらいよなぁ。
ルータやFWで、SRC/DSTが同じだと混乱してだまっちゃうようなのって最近ありまし
たっけ？
そういったのがあれば、きっとそれだよなぁ、とは思いますけど。
SRC/DSTだけじゃなくってほかのフラグやオプションが怪しいものになっている、なんて
場合も想定されますね。

そもそもsnortマシンはFW（ルータ）内部？外部？
それによっても答えは変わりそうですね。
＃外部：偶然、内部：いたずらっ子探しだして説教、みたいな。


--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

References:
- [connect24h:3782] BAD TRAFFIC same SRC/DST
  - From: Toi Yasuhiro(戸井康弘)
- [connect24h:3785] Re: BAD TRAFFIC same SRC/DST
  - From: shikap@xxxxxxxxxxxx

Prev by Date: [connect24h:3785] Re: BAD TRAFFIC same SRC/DST
Next by Date: [connect24h:3787] Re: BAD TRAFFIC same SRC/DST
Previous by thread: [connect24h:3785] Re: BAD TRAFFIC same SRC/DST
Next by thread: [connect24h:3787] Re: BAD TRAFFIC same SRC/DST
Index(es):
- Date
- Thread