[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00994] Re: Large ICMP : pop after icmp?!

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00994] Re: Large ICMP : pop after icmp?!
From: Akira HANDA <handa@xxxxxxxxxxxxxx>
Date: Thu, 15 Nov 2001 09:49:23 +0900



はんだです。

KuniG <kunig@xxxxxxxxxxx> wrote:
> ＜検出＞
> 　一定時間ごとに"Large ICMP"がmail server (MS)から、特定の２台のホスト
> (A,B)へ送出されるのがsnortによって記録される。
> ＜調査＞
> ・ホストA,Bはpopにアクセスする前に必ずicmp echo requestを送信していた。
> ・しかもicmp echo requestのデータ長が1500byteもあることが分かった。

> 　ですが、このころのMac(OpenTransport?)は何故popの前にicmpを、しかもその
> 大きさが1500byteと非常に大きなもの送出していたのでしょうね？
> 
> 　と、疑問を残しつつ・・・

これって rfc1191 "Path MTU discovery"ですよね。
最近の商用UNIXは、デフォルトでONになっている事が多いような。
＃フリーは良くわかりません
IDS使っていると邪魔なので、やらなくてもトラブら無いシステムでは止めても
らう事が多いですよね。


   /|      |    |      半田  明＠ソネット横浜(今は会社から)
  //||     ||   ||
 /--||     |----||     Private:handa@xxxxxxxxxxxxxxxx
//  ||kira ||   ||anda 

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　『オトコとオンナの深い穴』ってどんな穴？
             http://books.rakuten.co.jp/infoseek/?svx=971122

References:
- [stalk:00993] Large ICMP : pop after icmp?!
  - From: KuniG

Prev by Date: [stalk:00993] Large ICMP : pop after icmp?!
Next by Date: [stalk:00995] Re: [FYI] snort-1.8.2 released
Previous by thread: [stalk:00993] Large ICMP : pop after icmp?!
Next by thread: [stalk:00997] Re: Nimda とか、 CodeGree nとか
Index(es):
- Date
- Thread