Snort Alert - ¿Qué es PROTO: 255?

Navega tus respuestas
0

La salida de alerta de Mi Snort es como abajo. El primer elemento de la 4ª fila de cada alerta indica Protocolo. Sin embargo, en la alerta (portscan) TCP Portscan , el protocolo es PROTO: 255 . Qué significa eso?

¿Por qué Portscan usa PROTO: 255 en lugar de TCP?

Gracias 

...

[**] [1:10001:1] Possible TCP DoS [**]
[Classification: DoS was detected] [Priority: 1] 
07/20-21:10:29.392535 172.16.116.44:10331 -> 198.199.206.217:80
TCP TTL:63 TOS:0x0 ID:35766 IpLen:20 DgmLen:44
******S* Seq: 0xC8A50927  Ack: 0x0  Win: 0x200  TcpLen: 24
TCP Options (1) => MSS: 1460 

[**] [122:1:1] (portscan) TCP Portscan [**]
[Classification: Attempted Information Leak] [Priority: 2] 
07/20-21:51:21.251815 207.136.86.223 -> 172.16.114.50
PROTO:255 TTL:254 TOS:0x0 ID:28488 IpLen:20 DgmLen:160

[**] [1:648:7] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1] 
07/20-23:51:08.158403 172.16.114.148:20 -> 194.27.251.21:26637
TCP TTL:63 TOS:0x8 ID:61880 IpLen:20 DgmLen:1500
***A**** Seq: 0xC8C20948  Ack: 0xF05AC8A1  Win: 0x7D78  TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS181]

...
    
pregunta Hoang-Viet Nguyen 14.06.2017 - 17:54
fuente

1 respuesta

2

El campo de protocolo de un byte de ancho en el encabezado de IPv4 tiene todos sus bits establecidos. Esto no significa nada en particular ya que IANA (Autoridad de Números Asignados de Internet) no ha asignado ese número de protocolo. Para obtener más información, consulte la página de Números de protocolo en el sitio web de la IANA . El paquete puede haber sido enviado en un intento de obtener un mensaje inalcanzable del protocolo ICMP de la red de destino que podría ser analizado por la parte de escaneo, es decir, para verificar si hay fuga de datos o huellas digitales en la pila de IP que generó el datagrama ICMP.

    
respondido por el Derek Callaway 15.06.2017 - 04:18
fuente

Lea otras preguntas en las etiquetas

¿Es seguro el envío de información personal por correo electrónico entre diferentes proveedores? ¿Se necesitan claves públicas / privadas cuando se usa Diffie-Hellman con TLS?