[connect24h:3793] Re: BAD TRAFFIC same SRC/DST

[Yoshiaki Matsushima <yo-matsu@xxxxxxxxxxxxxxxx>]

松島です。

何か不具合で旨く動いていないだけなのでしょうか、
この状態に成るようIDSが狙われた？のだと怖いのだけど(笑、

Yasuhiro Toi <y_toy@xxxxxxxxxxxxxxxxx> さんが、
Wed, 17 Apr 2002 21:20:21 +0900 頃書いた、
[connect24h:3791] Re: BAD TRAFFIC same SRC/DST への返信です。

y_toy> SRC/DSTが85.85.85.85なのは
y_toy> ==> 85.85.85.85/UDP:0-0 <==
y_toy> [**] BAD TRAFFIC same SRC/DST [**]
y_toy> 04/15-15:49:44.572371 85.85.85.85:0 -> 85.85.85.85:0
y_toy> UDP TTL:64 TOS:0x0 ID:46850 IpLen:20 DgmLen:83
y_toy> 08 78 BA 3C FF BB 08 00 22 00 00 00 22 00 00 00  .x.<...."..."...
y_toy> 12 00 00 00 0C 8E DA 5C 00 80 C8 55 FC 77 08 00  .......\...U.w..
y_toy> 45 00 00 53 B7 02 00 00 40 11 38 52 55 55 55 55  E..S....@.8RUUUU
y_toy> 55 55 55 55 08 78 BA 3C 4D BC 08 00 30 00 00     UUUU.x.<M...0..

このダンプデータが何処から切り出された物なのか解からなのだけど、この部
分。キャプチャヘッダのタイムスタンプを含むキャプチャデータのメモリイメー
ジと一致してるいるような気が・・・(頭はintel系でしょ)、

08 78 BA 3C -> 2002/04/15 15:49:44
FF BB 08 00 -> 572415(uSec)
22 00 00 00 -> 34(キャプチャ長)
22 00 00 00 -> 34(パケット長)
12 00 -> なんだろう
00 00 0C 8E DA 5C -> DSTMAC
00 80 C8 55 FC 77 -> SRCMAC
08 00 -> TYPE IP
45 00 .... -> IPヘッダ

y_toy> SRC/DSTが170.170.170.170なのは
y_toy> ==> 170.170.170.170/TCP:0-0 <==
y_toy> [**] BAD TRAFFIC same SRC/DST [**]
y_toy> 04/13-03:02:08.230750 170.170.170.170:0 -> 170.170.170.170:0
y_toy> TCP TTL:113 TOS:0x0 ID:13614 IpLen:20 DgmLen:40 DF
y_toy> 20 21 B7 3C 8B 85 03 00 22 00 00 00 22 00 00 00   !.<...."..."...
y_toy> 12 00 00 80                                      ....

これも、
20 21 B7 3C -> 2002/04/13 03:02:08
8B 85 03 00 -> 230795

なんか、想像すると色々考えられそうな気もするけど、作為的に外から引き起
こすのは難しいでしょうし、ゴミパケット拾っただけなんですかね、

-- 
松島 義明  (yo-matsu@xxxxxxxxxxxxxxxx | matusima@xxxxxxxxxxxxx)

--[PR]------------------------------------------------------------------
使ってみたら意外と便利！ FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp