Recentemente snort mi ha comunicato che ho un computer dell'utente sulla mia rete che avvia una richiesta TFTP in uscita. La cosa strana è che la destinazione è 255.255.255.255
Qualcuno ha idea di cosa potrebbe essere?
Payload registrati:
0000000: 00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 00 ..router.conf.netascii.
0000000: 00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61 .. Boot \ x86 \ wdsnbp.com.neta 000001A: 73 63 69 69 00 scii.
0000000: 00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 00
..router.conf.netascii.
Probabilmente è un router, che richiede il file router.conf nella codifica netascii.
0000000: 00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61
000001A: 73 63 69 69 00
..Boot\x86\wdsnbp.com.netascii.
Questo è un Windows PE tentativo di avvio tramite PXE .
Poiché TFTP utilizza UDP come un trasporto (mantenendo l'overhead di codifica molto leggero, quindi Trvial FTP), è possibile accedervi anche utilizzando l'indirizzo di broadcast che consente a una macchina che è stata avviata senza alcuna informazione di configurazione la rete in assoluto per prendere i file di configurazione o gli eseguibili per assistere nel processo di avvio.
Registrare e tracciare gli indirizzi associati se si vuole capire cosa stava succedendo. Il triage, tuttavia, è normale operazione di netboot. Detto questo, potrebbe comunque essere utile per un intruso in qualche modo.
Leggi altre domande sui tag network incident-response ids snort