Hi,
hab n paar Einträge in meinem Snort die mir ein wenig komisch vorkommen.

http://img43.imagevenue.com/img.php?loc=loc49&image=cae_whatsthat.JPG

Was meint ihr dazu ?
Was soll das ?

Gruß
Phil

Na ist doch klar :)

Das war der Versuch dir einen Virus so unterzujubeln,
das du Ihn dir auch noch selber downloadest. :ugly: :D

Jetzt verschicken die schon Spam im Payload is ja der Hammer.

Nein, das ist ein UDP-Paket mit einer aus dem Bereich 127.0.0.0/8 gespooften IP-Adresse an den Port 1025 deines Rechners, in der Annahme, das dort ein RPC-Dienst lauscht. Soll wohl ein Popup auf Deinen (nicht vorhandenen) Windowsbildschirm zaubern.

@netpapst

<ironie>Anstatt ihn wie gewohnt in den IP-Header zu kodieren?<ironie>

Normal kommen ja auch noch nach dem IP-Header andere Protokollinformationen und nicht wie hier direkt ASCII-Payload

@netpapst

Hilf mir mal auf die Sprünge. Im Kopf der Abbildung stehen doch die IP-Headerangaben drin. Der ist laut Screenshot 20 Byte groß, der Rest ist Payload. Die Angaben nach den IPs im Header sind optional.

Was fehlt denn?

http://koeln.ccc.de/archiv/drt/ip-header.html

IP->UDP->andere Protokollinformationen->Payload

Ich hab's immer noch nicht ganz! Der UDP-Header, der sich im IP-Payload befindet, wird doch in dem Log ausgewertet. Dort stehen die Ports 44356 (dec) und 1024(dec), die nicht die $0400 und $7800 am Anfang des abgebildeten Payloads repräsentieren. Warum sollte das bis auf die gespoofte Quell-IP kein reguläres UDP-Paket sein? Leider sind auf der Abbildung nur 640 Byte UDP-Daten/Payload angebildet, sonst hätte man ja nachrechnen können. Sind's ingesamt 694-20(IP-Header)-8(UDP-Header)=666 Bytes, war's wohl ein normales Paket mit von mir o.g. Intention.

[1] http://www.elektronik-kompendium.de/sites/net/0812281.htm