[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:3792] Re: BAD TRAFFIC same SRC/DST
- To: <connect24h@xxxxxxxxxx>
- Subject: [connect24h:3792] Re: BAD TRAFFIC same SRC/DST
- From: "HATO Kunio (Private)" <hato@xxxxxxxxxxxxxxxx>
- Date: Wed, 17 Apr 2002 22:06:09 +0900
はとです。こんばんは。
うーん、全部 0101 の羅列を予想していたのですが、
そう簡単ではないですね。
From: "Yasuhiro Toi" <y_toy@xxxxxxxxxxxxxxxxx>
To: <connect24h@xxxxxxxxxx>
Sent: Wednesday, April 17, 2002 9:20 PM
Subject: [connect24h:3791] Re: BAD TRAFFIC same SRC/DST
> 戸井@ifnetです。
>
> snortが稼働しているPCは、外部に公開しているWeb/Mail Server同様、
> SonicWall DMZのDMZにぶらさがっています。
> (Firmwareは最新(といっても、2000/12/12リリース)の5.1.1.0に更新)
>
> SRC/DSTが85.85.85.85なのは
> ==> 85.85.85.85/UDP:0-0 <==
> [**] BAD TRAFFIC same SRC/DST [**]
> 04/15-15:49:44.572371 85.85.85.85:0 -> 85.85.85.85:0
> UDP TTL:64 TOS:0x0 ID:46850 IpLen:20 DgmLen:83
このヘッダー情報からバイナリを組み立てると、
16進数 (10進数)
Version = 0x4
IHL = 0x-
ToS = 0x00
Length = 0x0053 (83)
ID = 0xB702 (46850)
Flagment= 0x----
TTL = 0x40 (64)
Protocol= 0x11 (17:UDP)
Checksum= 0x----
Souce = 0x55555555 (85.85.85.85)
Dest = 0x55555555 (85.85.85.85)
4- 00 00 53 B7 02 -- -- 40 11 -- -- 55 55 55 55
55 55 55 55 -- -- -- --
こんな感じですか。-- は情報がないところです。
で、ペイロード部分を見ると、
> 08 78 BA 3C FF BB 08 00 22 00 00 00 22 00 00 00 .x.<...."..."...
> 12 00 00 00 0C 8E DA 5C 00 80 C8 55 FC 77 08 00 .......\...U.w..
> 45 00 00 53 B7 02 00 00 40 11 38 52 55 55 55 55 E..S....@.8RUUUU
> 55 55 55 55 08 78 BA 3C 4D BC 08 00 30 00 00 UUUU.x.<M...0..
同じパターンが3行目から始まっているのが見て取れます。
# その後を見ると、単純な巡回ではないみたいですが。。。
壊れているデータを snort が無理やりパケットとして組み立てたの
ではないでしょうか?
ただ、原因については未だ不明ですが。。
--------------------------------------------------
波戸 邦夫 <HATO Kunio> hato@xxxxxxxxxxxxxxxx
--------------------------------------------------
--[PR]------------------------------------------------------------------
使ってみたら意外と便利! FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp