¿Qué hace esta regla de Snort? [cerrado]

Navega tus respuestas
0

Regla-4: alerta udp $ EXTERNAL_NET cualquiera - > $ HOME_NET 3333 (msg: "ET EXPLOTAR Wireshark ENTTEC Código de procesamiento de datos DMX Intento de Ejecución 1 ";

contenido: "| 45 53 44 44 | ";

profundidad: 4;

contenido: "| 04 |"; distancia: 2; dentro de: 1;  contenido: "| FE FF | ";

distancia: 0; dentro de: 50; contenido: "| FE FF |";  distancia: 0; dentro de: 50; contenido: "| FE |"; byte_test: 1, >, 11,0, relativo; classtype: intento de usuario; Referencia: url, www.exploitdb. com / exploits / 15898 /; referencia: oferta, 45634; sid: 2012154; rev: 2;)

    
pregunta user6425 07.07.2014 - 06:48
fuente

1 respuesta

1

La regla parece buscar un patrón específico de bytes de contenido en el tráfico enviado al puerto 3333 / UDP.

El objetivo parece ser detectar un intento de explotar una vulnerabilidad en Wireshark, donde el análisis de tráfico específico provoca un desbordamiento de búfer en la máquina al analizar el tráfico. El enlace exploit-db en la regla muestra los detalles del exploit para este problema.

    
respondido por el Rоry McCune 07.07.2014 - 12:00
fuente

Lea otras preguntas en las etiquetas

alerta SNORT para Trufflehunter SFVRT 3: 29312: 1 ¿Es capaz el software web de secuestrar navegadores?