Snort Alert - Cos'è PROTO: 255?

0

L'output dell'allarme My Snort è come sotto. Il primo elemento della quarta riga di ciascun avviso indica Protocollo. Tuttavia, nell'avviso (portscan) TCP Portscan , il protocollo è PROTO: 255 . Cosa significa?

Perché Ports può usare PROTO: 255 invece di TCP?

Grazie

...

[**] [1:10001:1] Possible TCP DoS [**]
[Classification: DoS was detected] [Priority: 1] 
07/20-21:10:29.392535 172.16.116.44:10331 -> 198.199.206.217:80
TCP TTL:63 TOS:0x0 ID:35766 IpLen:20 DgmLen:44
******S* Seq: 0xC8A50927  Ack: 0x0  Win: 0x200  TcpLen: 24
TCP Options (1) => MSS: 1460 

[**] [122:1:1] (portscan) TCP Portscan [**]
[Classification: Attempted Information Leak] [Priority: 2] 
07/20-21:51:21.251815 207.136.86.223 -> 172.16.114.50
PROTO:255 TTL:254 TOS:0x0 ID:28488 IpLen:20 DgmLen:160

[**] [1:648:7] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1] 
07/20-23:51:08.158403 172.16.114.148:20 -> 194.27.251.21:26637
TCP TTL:63 TOS:0x8 ID:61880 IpLen:20 DgmLen:1500
***A**** Seq: 0xC8C20948  Ack: 0xF05AC8A1  Win: 0x7D78  TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS181]

...
    
posta Hoang-Viet Nguyen 14.06.2017 - 17:54
fonte

1 risposta

2

Il campo del protocollo a un byte di larghezza nell'intestazione IPv4 ha tutti i suoi bit impostati. Questo non significa nulla in particolare in quanto IANA (Internet Assigned Numbers Authority) non ha assegnato quel numero di protocollo. Per ulteriori informazioni, consultare la pagina Protocol Numbers sul sito web IANA . Il pacchetto potrebbe essere stato inviato nel tentativo di ottenere un messaggio ICMP non raggiungibile dalla rete di destinazione che potrebbe essere analizzato dal gruppo di scansione, ovvero per verificare la perdita di dati o l'impronta digitale dello stack IP che ha generato il datagramma ICMP.

    
risposta data 15.06.2017 - 04:18
fonte

Leggi altre domande sui tag