On 4 Nov 2008, at 22:45, Alfredo Speranza wrote:
Analizzando questo traffico ICMP ho rilevato, che in modo totalmente
random, qualche PC butta fuori degli strani pacchetti ICMP
frammentati.
Ne posto qui un esempio:
22:28:34.220690 IP (tos 0x0, ttl 128, id 36195, offset 0, flags [+],
proto ICMP (1), length 1500) rel_mngr2.cimad.flo.it >
cimad1.cimad.flo.it: ICMP echo request, id 512, seq 35842, length 1480
0x0000: 4500 05dc 8d63 2000 8001 75d4 c0a8 c78f E....c....u.....
0x0010: c0a8 c908 0800 2dd3 0200 8c02 ffd8 fffe ......-.........
0x0020: 0008 5741 4e47 3202 ffe0 0010 4a46 4946 ..WANG2.....JFIF
"JFIF" ? Dal dump si direbbe che il payload contiene un'immagine in
JPEG.
A cosa può essere dovuto, o a cosa possa servire questo traffico,
secondo il vostro parere?
Bella domanda. Tunnel su ICMP echo?
Ciao,
- ap
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
