Willkommen bei Scribd!

Karussell überspringen

Sudden Increase in ICMP Traffic: Simon Leinen, SWITCH

Hochgeladen von

ktokode1073

0% fanden dieses Dokument nützlich (0 Abstimmungen)

29 Ansichten12 Seiten

3g counter

Originaltitel

iepg-icmp

Copyright

Verfügbare Formate

PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

3g counter

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

29 Ansichten12 Seiten

Sudden Increase in ICMP Traffic: Simon Leinen, SWITCH

Hochgeladen von

ktokode1073

3g counter

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 12

Im Dokument suchen

Sudden Increase in ICMP Traffic

IEPG Meeting, Prague, CZ, 18 March 2007

Simon Leinen, SWITCH <simon@switch.ch>

2005 SWITCH

Background
Academic network provider (AS559)
About 2.5 Gb/s external traffic Announcing 91 prefixes, including 30 /16 + 3 /15

Unsampled NetFlow exported from four external border routers Raw flows archived for network operations and security analysis
NFDUMP/NfSen toolset (http://nfsen.sf.net/)

2005 SWITCH

Friday morning a week ago...

Starting at 08:42:45 UTC on 9 March 2007, we saw an increase in incoming ICMP traffic to our network (AS559)

This graph shows bps of ICMP traffic, from unsampled NetFlow export from our external border routers (pps and fps look very similar)
2005 SWITCH 3

More than week later...

...ICMP traffic remains at this unusually high level

2005 SWITCH

First observations about new ICMP traffic

Traffic seems to go to all customers
That turned out to be wrong: only 13 /16s (out of our 36+) are targeted Open question: How were these chosen?

Traffic seems to come from all commercial upstreams

Most of it from China; see the dominating day-curve

2005 SWITCH

First observations on new ICMP traffic (2)

Traffic usually consists of 4*60 bytes of ICMP Echo requests
Similar to Windows ping fingerprint But Echo requests stop when there is an ICMP Echo response

Seems to be part of scanning

When a host responds, it is sent a TCP packet to port 445 Why not scan for TCP port 445 right away? (Not stealth enough?)

Possibly a worm
an Allaple variant was suggested, see http://isc.sans.org/diary.html?storyid=2451

2005 SWITCH

Open Questions (1)

Is this an Internet-wide event?
I think so, friends in other countries have been seeing this as well But then others have not, even one with /8 background-radiation telescope Where's the Abilene Weekly NetFlow report when you need it?

2005 SWITCH

Open Questions (2)

What caused the fast ramp-up?
Were many systems infected at once, or was an existing compromised population triggered/upgraded?

2005 SWITCH

Open Questions (3)

What is the propagation strategy (presuming this is a worm)?
How are the targets chosen? Why probe with ICMP first?

2005 SWITCH

Open Questions (4)

Should we be worried about this?
Probably not ICMP is still a tiny fraction of traffic And these episodes may be quite common Might cause some ICMP rate-limits to be tripped (but those will be tripped anyway as traffic grows, because nobody ever updates them )-: Might cause problems near the sending end where infections are high If this is really Allaple, that worm does perform a DdoS against someone.

2005 SWITCH

Open Questions (5)

Assuming that we can detect this within minutes (which sounds quite feasible in this particular case), is there a sensible reaction?
Detection of Internet-wide anomalies is often touted as important/useful...

2005 SWITCH

Das könnte Ihnen auch gefallen

Network Analysis While Preserving Privacy : Karl F. Lutzen Information Security Officer KFL@MST - Edu
Dokument50 Seiten
Network Analysis While Preserving Privacy : Karl F. Lutzen Information Security Officer KFL@MST - Edu
Shrijendra Shakya
Noch keine Bewertungen
Lecture - 05 - Network Traffic Measurement
Dokument24 Seiten
Lecture - 05 - Network Traffic Measurement
Nguyễn Việt
Noch keine Bewertungen
Automatic Configuration of Routing Control Platforms in Openflow Networks
Dokument14 Seiten
Automatic Configuration of Routing Control Platforms in Openflow Networks
Anonymous SmYjg7g
Noch keine Bewertungen
Komal
Dokument44 Seiten
Komal
palwal1
Noch keine Bewertungen
ws17 Tutorial Ntop Pres
Dokument122 Seiten
ws17 Tutorial Ntop Pres
huonz mr
Noch keine Bewertungen
MPLS TP
Dokument74 Seiten
MPLS TP
Randy Dookheran
Noch keine Bewertungen
Network Attacks - A Deeper Look
Dokument35 Seiten
Network Attacks - A Deeper Look
Md Zahid Hossain
Noch keine Bewertungen
Constructing A Project Network: - Terminology
Dokument3 Seiten
Constructing A Project Network: - Terminology
Daniel Yung Sheng
Noch keine Bewertungen
Capstone Project Report
Dokument45 Seiten
Capstone Project Report
Prabh Jeet
Noch keine Bewertungen
???????? ??????? ??? ??????? ?????????
Dokument76 Seiten
???????? ??????? ??? ??????? ?????????
Nguyen Ngoc Duy
Noch keine Bewertungen
Terapaths: DWMI: Datagrid Wide Area Monitoring Infrastructure
Dokument48 Seiten
Terapaths: DWMI: Datagrid Wide Area Monitoring Infrastructure
Mbaira Leila
Noch keine Bewertungen
Netcor Netflow Vs Sflow
Dokument12 Seiten
Netcor Netflow Vs Sflow
Bojan Subasic
Noch keine Bewertungen
19-OpenFlow and SDN (RIPE)
Dokument19 Seiten
19-OpenFlow and SDN (RIPE)
Gempur SandRis
Noch keine Bewertungen
3 - How Data Is Transported Over Networks
Dokument63 Seiten
3 - How Data Is Transported Over Networks
mg21001375
Noch keine Bewertungen
Ipv6 Training
Dokument259 Seiten
Ipv6 Training
Chakravarthi Chittajallu
Noch keine Bewertungen
Impact2012 - DataPower Troubleshooting PDF
Dokument34 Seiten
Impact2012 - DataPower Troubleshooting PDF
Mahesh
Noch keine Bewertungen
Cmode Explained Latest
Dokument547 Seiten
Cmode Explained Latest
karthick
100% (1)
Mpls Oam Tutorial
Dokument74 Seiten
Mpls Oam Tutorial
Heribertus Budhiharto
Noch keine Bewertungen
Tesster
Dokument259 Seiten
Tesster
Danny Kurnawan
Noch keine Bewertungen
EIP Book of Knowledge
Dokument120 Seiten
EIP Book of Knowledge
larry_bee
Noch keine Bewertungen
OpenFlow: Enabling Innovation in Campus Networks
Dokument17 Seiten
OpenFlow: Enabling Innovation in Campus Networks
Jorge Rzezak
Noch keine Bewertungen
Dissertacao Flow
Dokument29 Seiten
Dissertacao Flow
João Muniz
Noch keine Bewertungen
Examples Peer-To-Peer Applications: (Gnutella, Kazaa, Bittorrent, Skype)
Dokument27 Seiten
Examples Peer-To-Peer Applications: (Gnutella, Kazaa, Bittorrent, Skype)
sonaaa_777
Noch keine Bewertungen
Network Security: Week 6 Tool Development
Dokument18 Seiten
Network Security: Week 6 Tool Development
Ayaz Munir
Noch keine Bewertungen
CyOps - 7
Dokument50 Seiten
CyOps - 7
Kevin Hendry Batuwael
Noch keine Bewertungen
TCPIP Diagnosis Session Anaheim FEB 2011
Dokument56 Seiten
TCPIP Diagnosis Session Anaheim FEB 2011
Divyangkumar Darji
Noch keine Bewertungen
Cyops1.1 Chp07-Dts Oa
Dokument49 Seiten
Cyops1.1 Chp07-Dts Oa
Muhamad Ilham Maulana
Noch keine Bewertungen
Monitoring Internet Background Radiation: What The Hack 2005
Dokument21 Seiten
Monitoring Internet Background Radiation: What The Hack 2005
amir.work
Noch keine Bewertungen
PERT - Beyond Fat Pipes: Simon Leinen
Dokument9 Seiten
PERT - Beyond Fat Pipes: Simon Leinen
sapalijo990
Noch keine Bewertungen
Tema 14. Netflow
Dokument38 Seiten
Tema 14. Netflow
Marlon Xavier Aguirre Carchi
Noch keine Bewertungen
Strategies and Tactics:: Application Troubleshooting Simplified
Dokument69 Seiten
Strategies and Tactics:: Application Troubleshooting Simplified
jeffgrantinct
Noch keine Bewertungen
Advanced Computer Networks (CS ZG525) : BITS Pilani
Dokument50 Seiten
Advanced Computer Networks (CS ZG525) : BITS Pilani
Ashwath M
Noch keine Bewertungen
Statistical Data Mining: Edward J. Wegman
Dokument61 Seiten
Statistical Data Mining: Edward J. Wegman
ballerina48
Noch keine Bewertungen
Security Labs in OPNET IT Guru: Enginyeria I Arquitectura La Salle Universitat Ramon Llull Barcelona 2004
Dokument9 Seiten
Security Labs in OPNET IT Guru: Enginyeria I Arquitectura La Salle Universitat Ramon Llull Barcelona 2004
Florin Silivăstru
Noch keine Bewertungen
OpenFlowTutorial ONS 1017 2011
Dokument97 Seiten
OpenFlowTutorial ONS 1017 2011
Katelyn Kasperowicz
Noch keine Bewertungen
Productizing and Deploying The Openairinterface Epc: Spencer Sevilla, Kurtis Heimerl
Dokument36 Seiten
Productizing and Deploying The Openairinterface Epc: Spencer Sevilla, Kurtis Heimerl
Said
Noch keine Bewertungen
Evaluation of IP Fast Reroute Proposals: Minas Gjoka Vinayak Ram Xiaowei Yang
Dokument8 Seiten
Evaluation of IP Fast Reroute Proposals: Minas Gjoka Vinayak Ram Xiaowei Yang
lidones
Noch keine Bewertungen
EPANET Programmer's Toolkit - Water Simulation
Dokument5 Seiten
EPANET Programmer's Toolkit - Water Simulation
marting69
Noch keine Bewertungen
Introduction To Cisco Ios Netflow: Technical Overview
Dokument17 Seiten
Introduction To Cisco Ios Netflow: Technical Overview
Dilli Babu
Noch keine Bewertungen
MPLS For Dummies
Dokument64 Seiten
MPLS For Dummies
gabyyy09
Noch keine Bewertungen
Linux Firewall: For The Office and Home
Dokument53 Seiten
Linux Firewall: For The Office and Home
Rurouni Martínez
Noch keine Bewertungen
Anomaly Detection, Graph Databases and NetFlows - From SECOR Project Perspective
Dokument54 Seiten
Anomaly Detection, Graph Databases and NetFlows - From SECOR Project Perspective
NemanjaVidovic
Noch keine Bewertungen
Security+ Guide To Network Security Fundamentals, Fourth Edition
Dokument57 Seiten
Security+ Guide To Network Security Fundamentals, Fourth Edition
Sibtain Tahir
Noch keine Bewertungen
Introduction To Troubleshooting Cisco Networks: Expert Reference Series of White Papers
Dokument11 Seiten
Introduction To Troubleshooting Cisco Networks: Expert Reference Series of White Papers
elgabo50019583
0% (1)
Lnx100 Controlnet Fundementals: An Introduction To Controlnet
Dokument18 Seiten
Lnx100 Controlnet Fundementals: An Introduction To Controlnet
Naseem Ahmed
Noch keine Bewertungen
What's Packet Tracer 6.1 - Netflow
Dokument3 Seiten
What's Packet Tracer 6.1 - Netflow
Alvro Frade
Noch keine Bewertungen
1 3 JF PDF
Dokument40 Seiten
1 3 JF PDF
AvneeshÜbermenschBalyan
Noch keine Bewertungen
Configure Netflow On Cisco Routers
Dokument10 Seiten
Configure Netflow On Cisco Routers
ashwani76
Noch keine Bewertungen
Tutorial Slides Ntop
Dokument12 Seiten
Tutorial Slides Ntop
VitaliCV
Noch keine Bewertungen
Monitoring and Protocol Analysis Tool For LAN
Dokument11 Seiten
Monitoring and Protocol Analysis Tool For LAN
shaikhdanish247
Noch keine Bewertungen
Optimising TCP/IP Connectivity
Dokument14 Seiten
Optimising TCP/IP Connectivity
mberrow
Noch keine Bewertungen
A Practical Guide Wireshark Forensics
Von Everand
A Practical Guide Wireshark Forensics
alasdair gilchrist
Bewertung: 5 von 5 Sternen
5/5 (4)
Hack into your Friends Computer
Von Everand
Hack into your Friends Computer
Magelan Cyber Security
Noch keine Bewertungen
LEARN MPLS FROM SCRATCH PART-A: A Beginner's Guide to Next Level of Networking
Von Everand
LEARN MPLS FROM SCRATCH PART-A: A Beginner's Guide to Next Level of Networking
POONAM DEVI
Noch keine Bewertungen
Network Simulation Experiments Manual
Von Everand
Network Simulation Experiments Manual
Emad Aboelela
Bewertung: 4 von 5 Sternen
4/5 (3)
Hitchhiker's Guide to the Internet
Von Everand
Hitchhiker's Guide to the Internet
Ed Krol
Noch keine Bewertungen
The Effects of Traffic Structure on Application and Network Performance
Von Everand
The Effects of Traffic Structure on Application and Network Performance
Jay Aikat
Noch keine Bewertungen
Getting Started with Oracle Cloud Free Tier: Create Modern Web Applications Using Always Free Resources
Von Everand
Getting Started with Oracle Cloud Free Tier: Create Modern Web Applications Using Always Free Resources
Adrian Png
Noch keine Bewertungen
Advanced OSPF & BGP
Von Everand
Advanced OSPF & BGP
Ashlan Chidester
Noch keine Bewertungen
Network Algorithmics: An Interdisciplinary Approach to Designing Fast Networked Devices
Von Everand
Network Algorithmics: An Interdisciplinary Approach to Designing Fast Networked Devices
George Varghese
Bewertung: 4 von 5 Sternen
4/5 (1)
Worst Cells WK19
Dokument3.829 Seiten
Worst Cells WK19
ktokode1073
Noch keine Bewertungen
Call Initiation: Call Statistical Data MTN
Dokument1 Seite
Call Initiation: Call Statistical Data MTN
ktokode1073
Noch keine Bewertungen
Rescued Document
Dokument11 Seiten
Rescued Document
ktokode1073
Noch keine Bewertungen
Initial Consultation MAL - Migrate Edited
Dokument2 Seiten
Initial Consultation MAL - Migrate Edited
ktokode1073
Noch keine Bewertungen
Sample Report - WCDMA CS Call - 0201 - 05p - MS1
Dokument19 Seiten
Sample Report - WCDMA CS Call - 0201 - 05p - MS1
ktokode1073
Noch keine Bewertungen
Linköping University Post Print
Dokument11 Seiten
Linköping University Post Print
Ifeanyi Oparaeke
Noch keine Bewertungen
Post Secondary Program Cost Estimates 2012 - 2013 ACADEMIC YEAR
Dokument11 Seiten
Post Secondary Program Cost Estimates 2012 - 2013 ACADEMIC YEAR
ktokode1073
Noch keine Bewertungen
Range Count % Distribution Percentage: - 65 To - 30 - 85 To - 65 - 95 To - 85 - 95 To - 120
Dokument6 Seiten
Range Count % Distribution Percentage: - 65 To - 30 - 85 To - 65 - 95 To - 85 - 95 To - 120
ktokode1073
Noch keine Bewertungen
Cluster/Area Driven Cell Name Reference/ Action Point
Dokument3 Seiten
Cluster/Area Driven Cell Name Reference/ Action Point
ktokode1073
Noch keine Bewertungen
Old Kaduna Cluster 1 Optimization Drive Test Report
Dokument22 Seiten
Old Kaduna Cluster 1 Optimization Drive Test Report
ktokode1073
Noch keine Bewertungen
Batch Result
Dokument1 Seite
Batch Result
chhillar_varun
Noch keine Bewertungen
New Snapshots
Dokument2 Seiten
New Snapshots
ktokode1073
Noch keine Bewertungen
Aba Glo 3G Site Parameters: NO Site Code Address Azimuth Electrical Tilt Mech Tilt Height
Dokument2 Seiten
Aba Glo 3G Site Parameters: NO Site Code Address Azimuth Electrical Tilt Mech Tilt Height
ktokode1073
Noch keine Bewertungen
C/I No Test Address Coverage Cell Main BCCH LAC CI CQT Longitude CQT Latitude
Dokument3 Seiten
C/I No Test Address Coverage Cell Main BCCH LAC CI CQT Longitude CQT Latitude
ktokode1073
Noch keine Bewertungen
Hknbs19 New
Dokument60 Seiten
Hknbs19 New
ktokode1073
Noch keine Bewertungen
23
Dokument23 Seiten
23
ktokode1073
Noch keine Bewertungen
Old Glo Site Parameters
Dokument2 Seiten
Old Glo Site Parameters
ktokode1073
Noch keine Bewertungen
Aba SSV Sites - 22
Dokument9 Seiten
Aba SSV Sites - 22
ktokode1073
Noch keine Bewertungen
Old Glo Site Parameters
Dokument2 Seiten
Old Glo Site Parameters
ktokode1073
Noch keine Bewertungen
BSC11
Dokument37 Seiten
BSC11
ktokode1073
Noch keine Bewertungen
Hzmbs18 New
Dokument30 Seiten
Hzmbs18 New
ktokode1073
Noch keine Bewertungen
BSC08
Dokument130 Seiten
BSC08
ktokode1073
Noch keine Bewertungen
HPLBS02
Dokument53 Seiten
HPLBS02
ktokode1073
Noch keine Bewertungen
BSC20
Dokument37 Seiten
BSC20
ktokode1073
Noch keine Bewertungen
Hjgbs16 New
Dokument31 Seiten
Hjgbs16 New
ktokode1073
Noch keine Bewertungen
Hjgbs16 New
Dokument31 Seiten
Hjgbs16 New
ktokode1073
Noch keine Bewertungen
BSC14
Dokument59 Seiten
BSC14
ktokode1073
Noch keine Bewertungen
RNC Name RNC Id Nodeb Name Nodeb Id Cell Name Cell Id 2G Site Name (Co-Location) City State
Dokument3 Seiten
RNC Name RNC Id Nodeb Name Nodeb Id Cell Name Cell Id 2G Site Name (Co-Location) City State
ktokode1073
Noch keine Bewertungen
Orlu 004
Dokument3 Seiten
Orlu 004
ktokode1073
Noch keine Bewertungen
Lab Manual
Dokument3 Seiten
Lab Manual
Faiq Rauf
Noch keine Bewertungen
Data Sheet 6ES7515-2FM02-0AB0: General Information
Dokument8 Seiten
Data Sheet 6ES7515-2FM02-0AB0: General Information
jbrito2009
Noch keine Bewertungen
F5 DNS Guide PDF
Dokument102 Seiten
F5 DNS Guide PDF
Rohan
Noch keine Bewertungen
Homework 1 - CSE 343 - 192 - SOLUTION
Dokument6 Seiten
Homework 1 - CSE 343 - 192 - SOLUTION
Maram Abdullah
Noch keine Bewertungen
Esa Cli
Dokument2 Seiten
Esa Cli
Can dien tu Thai Binh Duong
Noch keine Bewertungen
Arista L3LS Design Deployment Guide PDF
Dokument35 Seiten
Arista L3LS Design Deployment Guide PDF
Ganapareddy
Noch keine Bewertungen
Ethernet: - IEEE-Institute of Electrical and Electronics
Dokument27 Seiten
Ethernet: - IEEE-Institute of Electrical and Electronics
Rekha V R
Noch keine Bewertungen
Pirate Torrent
Dokument2 Seiten
Pirate Torrent
Oldra
Noch keine Bewertungen
Spanning Tree
Dokument1 Seite
Spanning Tree
opexxx
100% (2)
5 Sinif Azərbaycan Dili KSQ 1,2,3,4,5,6 BSQ 1,2 - PDF
Dokument821 Seiten
5 Sinif Azərbaycan Dili KSQ 1,2,3,4,5,6 BSQ 1,2 - PDF
Solmaz Quliyeva
Noch keine Bewertungen
6LowPAN Architecture
Dokument5 Seiten
6LowPAN Architecture
Reiko11
Noch keine Bewertungen
Huawei ONT EG8145V5 Datasheet
Dokument4 Seiten
Huawei ONT EG8145V5 Datasheet
Alexander Hurtado
Noch keine Bewertungen
FOX515: NEW Modules: V SYNUF With SFP: STM-1 Module, Replacing SYNIF
Dokument21 Seiten
FOX515: NEW Modules: V SYNUF With SFP: STM-1 Module, Replacing SYNIF
Huynh Nguyet
Noch keine Bewertungen
Blur Export 2017 09 03T07 44 16.134Z
Dokument33 Seiten
Blur Export 2017 09 03T07 44 16.134Z
tomlinn
100% (1)
01 (Compulsory) Comprehensive Application of Routing and Switching Technologies
Dokument25 Seiten
01 (Compulsory) Comprehensive Application of Routing and Switching Technologies
yogi cahyo
0% (1)
Tp-Link TD-W8961N
Dokument85 Seiten
Tp-Link TD-W8961N
Xxx
Noch keine Bewertungen
Firewall
Dokument13 Seiten
Firewall
Gazal Gupta
Noch keine Bewertungen
Name Purpose Audience Key Messages Version Information Versions Descriptions Author/Employee ID Approve R/emplo Yee ID Release Dept.
Dokument43 Seiten
Name Purpose Audience Key Messages Version Information Versions Descriptions Author/Employee ID Approve R/emplo Yee ID Release Dept.
WalterLooKungVizurraga
100% (3)
Error Control in TCP
Dokument21 Seiten
Error Control in TCP
Prakhyat Goel
Noch keine Bewertungen
CSS12 LAS Patch-Panel-Board 2022
Dokument4 Seiten
CSS12 LAS Patch-Panel-Board 2022
Tirso Bercasio Jr.
Noch keine Bewertungen
Create An Access List That Will Prevent Only The Host 192
Dokument11 Seiten
Create An Access List That Will Prevent Only The Host 192
Luis Hch
Noch keine Bewertungen
How To Configure LACP On Mikrotik
Dokument7 Seiten
How To Configure LACP On Mikrotik
leonard sava
Noch keine Bewertungen
A Configurable Medium Access Control Protocol For IEEE 802.15.4 Networks
Dokument8 Seiten
A Configurable Medium Access Control Protocol For IEEE 802.15.4 Networks
DomRuan
Noch keine Bewertungen
Report Simulation Assignment 5
Dokument22 Seiten
Report Simulation Assignment 5
Ebraheem Alhaddad
100% (5)
Datasheet OSA5420 - Series
Dokument6 Seiten
Datasheet OSA5420 - Series
Charles
Noch keine Bewertungen
Demystifying Networking Assignment-Week 3: Correct Answer: B) UDP
Dokument3 Seiten
Demystifying Networking Assignment-Week 3: Correct Answer: B) UDP
Mini Bhatt
Noch keine Bewertungen
Metro Transport Evolution
Dokument34 Seiten
Metro Transport Evolution
Helmi Amir Bahaswan
Noch keine Bewertungen
CCNA 1 (v5.1 + v6.0) Chapter 10 Exam Answers 2019 - 100% Full
Dokument20 Seiten
CCNA 1 (v5.1 + v6.0) Chapter 10 Exam Answers 2019 - 100% Full
fodekambalou
Noch keine Bewertungen
G.709 Intro v2
Dokument74 Seiten
G.709 Intro v2
Sivakumar Mohan
Noch keine Bewertungen
RouterPHONE07 11 14
Dokument11 Seiten
RouterPHONE07 11 14
Victor De La Cruz Quispe
Noch keine Bewertungen