Recientemente, Snort me notificó que tengo una computadora de usuario en mi red que está iniciando una solicitud TFTP saliente. Lo extraño es que el destino es 255.255.255.255
¿Alguien tiene una idea de lo que puede ser?
Cargas útiles recuperadas:
0000000: 00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 ..router.conf.netascii.
0000000: 00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61 ..Boot \ x86 \ wdsnbp.com.neta 000001A: 73 63 69 69 00 scii.
0000000: 00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 00
..router.conf.netascii.
Probablemente sea un enrutador, que solicita el archivo router.conf en codificación netascii.
0000000: 00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61
000001A: 73 63 69 69 00
..Boot\x86\wdsnbp.com.netascii.
Eso es un intento de Windows PE en iniciando a través de PXE .
Dado que TFTP usa UDP como transporte (manteniendo la sobrecarga de codificación muy liviana, por lo tanto, Trvial FTP), también se puede acceder a él mediante la dirección de transmisión, lo que permite que una máquina que ha iniciado sin información de configuración sobre la red en absoluto para capturar archivos de configuración o archivos ejecutables para ayudar en el proceso de arranque.
Registre y realice un seguimiento de las direcciones asociadas si desea averiguar qué estaba sucediendo. El triage, sin embargo, es normal en las operaciones de arranque de red. Dicho esto, esto todavía podría ser útil para un intruso de alguna manera.
Lea otras preguntas en las etiquetas network incident-response ids snort