Archiv verlassen und diese Seite im Standarddesign anzeigen : Unverständliche Snort-Logs
Hi,
hab n paar Einträge in meinem Snort die mir ein wenig komisch vorkommen.
http://img43.imagevenue.com/img.php?loc=loc49&image=cae_whatsthat.JPG
Was meint ihr dazu ?
Was soll das ?
Gruß
Phil
heatwalker
18.11.05, 12:05
Na ist doch klar :)
Das war der Versuch dir einen Virus so unterzujubeln,
das du Ihn dir auch noch selber downloadest. :ugly: :D
Jetzt verschicken die schon Spam im Payload is ja der Hammer.
Nein, das ist ein UDP-Paket mit einer aus dem Bereich 127.0.0.0/8 gespooften IP-Adresse an den Port 1025 deines Rechners, in der Annahme, das dort ein RPC-Dienst lauscht. Soll wohl ein Popup auf Deinen (nicht vorhandenen) Windowsbildschirm zaubern.
@netpapst
<ironie>Anstatt ihn wie gewohnt in den IP-Header zu kodieren?<ironie>
Normal kommen ja auch noch nach dem IP-Header andere Protokollinformationen und nicht wie hier direkt ASCII-Payload
@netpapst
Hilf mir mal auf die Sprünge. Im Kopf der Abbildung stehen doch die IP-Headerangaben drin. Der ist laut Screenshot 20 Byte groß, der Rest ist Payload. Die Angaben nach den IPs im Header sind optional.
Was fehlt denn?
http://koeln.ccc.de/archiv/drt/ip-header.html
IP->UDP->andere Protokollinformationen->Payload
Ich hab's immer noch nicht ganz! Der UDP-Header, der sich im IP-Payload befindet, wird doch in dem Log ausgewertet. Dort stehen die Ports 44356 (dec) und 1024(dec), die nicht die $0400 und $7800 am Anfang des abgebildeten Payloads repräsentieren. Warum sollte das bis auf die gespoofte Quell-IP kein reguläres UDP-Paket sein? Leider sind auf der Abbildung nur 640 Byte UDP-Daten/Payload angebildet, sonst hätte man ja nachrechnen können. Sind's ingesamt 694-20(IP-Header)-8(UDP-Header)=666 Bytes, war's wohl ein normales Paket mit von mir o.g. Intention.
[1] http://www.elektronik-kompendium.de/sites/net/0812281.htm
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.