Che cosa fa questa regola Snort? [chiuso]

0

Regola-4: avviso udp $ EXTERNAL_NET any - > $ HOME_NET 3333 (msg: "ET ESPLORARE Wireshark ENTTEC Codice di elaborazione dati DMX Tentativo di esecuzione 1 ";

contenuto: "| 45 53 44 44 | ";

Profondità: 4;

contenuto: "| 04 |"; distanza: 2; entro: 1;  tenore: "| FE FF | ";

Distanza: 0; entro: 50; contenuto: "| FE FF |";  distanza: 0; entro: 50; tenore: "| FE |"; byte_test: 1, >, 11,0, relativa; ClassType: tentata-utente; di riferimento: url, www.exploitdb. com / exploit / 15898 /; di riferimento: offerta, 45634; SID: 2012154; rev: 2;)

    
posta user6425 07.07.2014 - 06:48
fonte

1 risposta

1

La regola sembra cercare un modello specifico di byte di contenuto nel traffico inviato alla porta 3333 / UDP.

L'obiettivo sembra essere quello di rilevare un tentativo di sfruttare una vulnerabilità in Wireshark, dove l'analisi del traffico specifico causa un overflow del buffer sulla macchina che analizza il traffico. Il link exploit-db nella regola mostra i dettagli dell'exploit per questo problema.

    
risposta data 07.07.2014 - 12:00
fonte

Leggi altre domande sui tag