Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6912 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Detect L3retriever Ping

skydiver
I started receiving this IPS alert this weekend: 
Message........: ICMP L3retriever Ping

Details........: www.snort.org/.../466

Time...........: 2010:06:02-11:35:54

Packet dropped.: yes

Priority.......: 2 (medium)

Classification.: Attempted Information Leak IP protocol....: 1 (ICMP)



Source IP address: 10.98.12.x

www.dnsstuff.com/.../ptr.ch

www.ripe.net/.../whois

ws.arin.net/.../whois.pl

cgi.apnic.net/.../whois.pl

Source port: 0

Destination IP address: 10.19.12.200

www.dnsstuff.com/.../ptr.ch

www.ripe.net/.../whois

ws.arin.net/.../whois.pl

cgi.apnic.net/.../whois.pl

Destination port: 0


The alert is being generated with the source in one LAN network segment and the destination on another LAN network segment.  These are being generated when the first Windows XP box accesses a shared network folder on the computer at the second network segment.

Any ideas as to why this may be occurring?  The shared folder has been in place for a while and this just started happening in the past week.    I need to understand exactly what is causing this because this is a PCI environment and the target of the scan is a PCI device.


This thread was automatically locked due to age.
Parents
  • 0
    I am also getting this reported although my case seems a little more elevated ...

    I am still receiving notifications from my firewall thru email.
    June 1st was the last time I was able to login via webadmin (have not tried SSH as am not familiar)
    My connection via ACC was cut last night at 10:12pm (no webadmin access was avail thru ACC since June 1st, either)
    I have reported attacks on my weekly report :
    1  466  ICMP L3retriever Ping  Protocol Anomaly / ICMP  12 123  86.49%
    2  15306  1 853  13.22%
    3  13974  WEB-CLIENT Internet Explorer XHTML element memory corruption attempt  Client / Browser  25  0.18%
    4  15362  WEB-CLIENT obfuscated javascript excessive fromCharCode - potential attack  Client / Browser  9  0.06%
    5  8443  WEB-CLIENT Mozilla regular expression heap corruption attempt  Client / Browser  3  0.02%
    6  13320  WEB-CLIENT 3ivx MP4 file parsing cpy buffer overflow attempt  Client / Browser  1  0.01%
    7  3634  WEB-CLIENT Bitmap width integer overflow multipacket attempt  Client / Browser  1  0.01%
    8  15517  WEB-CLIENT AVI DirectShow quicktime parsing overflow attempt  Client / Browser  1  0.01%

    Any help would be appreciated..
Reply
  • 0
    I am also getting this reported although my case seems a little more elevated ...

    I am still receiving notifications from my firewall thru email.
    June 1st was the last time I was able to login via webadmin (have not tried SSH as am not familiar)
    My connection via ACC was cut last night at 10:12pm (no webadmin access was avail thru ACC since June 1st, either)
    I have reported attacks on my weekly report :
    1  466  ICMP L3retriever Ping  Protocol Anomaly / ICMP  12 123  86.49%
    2  15306  1 853  13.22%
    3  13974  WEB-CLIENT Internet Explorer XHTML element memory corruption attempt  Client / Browser  25  0.18%
    4  15362  WEB-CLIENT obfuscated javascript excessive fromCharCode - potential attack  Client / Browser  9  0.06%
    5  8443  WEB-CLIENT Mozilla regular expression heap corruption attempt  Client / Browser  3  0.02%
    6  13320  WEB-CLIENT 3ivx MP4 file parsing cpy buffer overflow attempt  Client / Browser  1  0.01%
    7  3634  WEB-CLIENT Bitmap width integer overflow multipacket attempt  Client / Browser  1  0.01%
    8  15517  WEB-CLIENT AVI DirectShow quicktime parsing overflow attempt  Client / Browser  1  0.01%

    Any help would be appreciated..
Children
No Data