Ciao alfred! Non ho ben capito la topologia della tua rete...ma il ramo della WAN dove sta in quel diegramma? Stiamo parlando di 2 reti private?
Domanda1: hai la possibilità di vedere su rel_mngr2.cimad.flo.it quali programmi aprono quel socket ? Domanda2: i pkts "sospetti" sono sempre seguiti/preceduti da degli altri pkts nella stessa sequenza? Domanda3: Ma siamo sicuri che AD necessita degli ICMP echo? a me sinceramente non mi risulta.....sbaglio? ICMP è usato spessisimo come covert channel,quindi non escludereila presenza di un tunnel. Magari se capisci quale processo li genera è gia un passo avanti. Ciao ! ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
