Re: [Snort-users] Bare byte alerts but no non-ASCII characters!
This is a discussion on Re: [Snort-users] Bare byte alerts but no non-ASCII characters! within the Snort forums, part of the System Security and Security Related category; El Jueves 21 Febrero 2008 11:48:54 escribi=F3: > Julio, > > Can you post a pcap of ...
|
|||||||
| FAQ | Members List | Calendar | Search | Today's Posts | Mark Forums Read |
02-21-2008
|
|||
|
|||
Re: [Snort-users] Bare byte alerts but no non-ASCII characters!
El Jueves 21 Febrero 2008 11:48:54 escribi=F3:
> Julio, > > Can you post a pcap of the offending traffic (if it contains sensitive > info, post to bugs@snort.org) so we can attempt to debug the issue. > Here are two packets copied from BASE. If you need the raw thing I'll look = for = it. 000 : 47 45 54 20 2F 73 69 74 69 6F 2F 62 61 72 72 61 GET /sitio/barra 010 : 73 75 70 65 72 69 6F 72 2F 69 6D 61 67 65 6E 65 superior/imagene 020 : 73 2F 69 6E 69 63 69 6F 5F 6F 75 74 2E 70 6E 67 s/inicio_out.png 030 : 20 48 54 54 50 2F 31 2E 30 0D 0A 41 63 63 65 70 HTTP/1.0..Accep 040 : 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 72 3A t: */*..Referer: 050 : 20 68 74 74 70 3A 2F 2F 77 77 77 2E 72 6F 73 61 http://www.rosa 060 : 72 69 6F 2E 67 6F 76 2E 61 72 2F 73 69 74 69 6F rio.gov.ar/sitio 070 : 2F 70 61 67 69 6E 61 69 6E 69 63 69 61 6C 2F 0D /paginainicial/. 080 : 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 .Accept-Language 090 : 3A 20 65 73 0D 0A 55 73 65 72 2D 41 67 65 6E 74 : es..User-Agent 0a0 : 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 : Mozilla/4.0 (c 0b0 : 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 ompatible; MSIE = 0c0 : 36 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 6.0; Windows NT = 0d0 : 35 2E 31 3B 20 53 56 31 3B 20 2E 4E 45 54 20 43 5.1; SV1; .NET C 0e0 : 4C 52 20 31 2E 31 2E 34 33 32 32 3B 20 2E 4E 45 LR 1.1.4322; .NE 0f0 : 54 20 43 4C 52 20 32 2E 30 2E 35 30 37 32 37 29 T CLR 2.0.50727) 100 : 0D 0A 48 6F 73 74 3A 20 77 77 77 2E 72 6F 73 61 ..Host: www.rosa 110 : 72 69 6F 2E 67 6F 76 2E 61 72 0D 0A 43 6F 6F 6B rio.gov.ar..Cook 120 : 69 65 3A 20 4A 53 45 53 53 49 4F 4E 49 44 3D 39 ie: JSESSIONID=3D9 130 : 43 46 46 43 42 33 43 33 32 37 37 31 44 32 33 35 CFFCB3C32771D235 140 : 33 43 42 46 46 31 30 42 34 30 45 35 43 35 34 2E 3CBFF10B40E5C54. 150 : 6E 6F 64 6F 32 5F 74 6F 6D 63 61 74 30 32 0D 0A nodo2_tomcat02.. 160 : 56 69 61 3A 20 31 2E 30 20 50 72 6F 78 79 38 30 Via: 1.0 Proxy80 170 : 38 30 3A 38 30 38 30 20 28 73 71 75 69 64 2F 32 80:8080 (squid/2 180 : 2E 35 2E 53 54 41 42 4C 45 31 34 29 2C 20 31 2E .5.STABLE14), 1. 190 : 30 20 67 61 69 61 2E 6E 65 78 74 65 6C 2E 63 6F 0 gaia.nextel.co 1a0 : 6D 2E 61 72 3A 38 30 38 30 20 28 73 71 75 69 64 m.ar:8080 (squid 1b0 : 2F 32 2E 35 2E 53 54 41 42 4C 45 31 34 29 0D 0A /2.5.STABLE14).. 1c0 : 58 2D 46 6F 72 77 61 72 64 65 64 2D 46 6F 72 3A X-Forwarded-For: 1d0 : 20 31 30 2E 31 30 31 2E 36 37 2E 36 36 2C 20 31 10.101.67.66, 1 1e0 : 30 2E 31 30 31 2E 30 2E 38 31 0D 0A 43 61 63 68 0.101.0.81..Cach 1f0 : 65 2D 43 6F 6E 74 72 6F 6C 3A 20 6D 61 78 2D 61 e-Control: max-a 200 : 67 65 3D 32 35 39 32 30 30 0D 0A 43 6F 6E 6E 65 ge=3D259200..Conne 210 : 63 74 69 6F 6E 3A 20 6B 65 65 70 2D 61 6C 69 76 ction: keep-aliv 220 : 65 0D 0A 0D 0A e.... 000 : 47 45 54 20 2F 73 69 74 69 6F 2F 61 67 65 6E 64 GET /sitio/agend 010 : 61 2F 69 6D 61 67 65 6E 65 73 2F 74 6F 70 2E 6A a/imagenes/top.j 020 : 70 67 20 48 54 54 50 2F 31 2E 30 0D 0A 41 63 63 pg HTTP/1.0..Acc 030 : 65 70 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 ept: */*..Refere 040 : 72 3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 72 6F r: http://www.ro 050 : 73 61 72 69 6F 2E 67 6F 76 2E 61 72 2F 73 69 74 sario.gov.ar/sit 060 : 69 6F 2F 61 67 65 6E 64 61 2F 61 67 65 6E 64 61 io/agenda/agenda 070 : 2E 68 74 6D 6C 0D 0A 41 63 63 65 70 74 2D 4C 61 .html..Accept-La 080 : 6E 67 75 61 67 65 3A 20 65 73 2D 63 6C 0D 0A 55 nguage: es-cl..U 090 : 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C ser-Agent: Mozil 0a0 : 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 la/4.0 (compatib 0b0 : 6C 65 3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 le; MSIE 6.0; Wi 0c0 : 6E 64 6F 77 73 20 4E 54 20 35 2E 31 3B 20 53 56 ndows NT 5.1; SV 0d0 : 31 29 0D 0A 48 6F 73 74 3A 20 77 77 77 2E 72 6F 1)..Host: www.ro 0e0 : 73 61 72 69 6F 2E 67 6F 76 2E 61 72 0D 0A 56 69 sario.gov.ar..Vi 0f0 : 61 3A 20 31 2E 30 20 6C 6F 63 61 6C 68 6F 73 74 a: 1.0 localhost 100 : 2E 6C 6F 63 61 6C 64 6F 6D 61 69 6E 3A 38 30 38 .localdomain:808 110 : 30 20 28 73 71 75 69 64 2F 32 2E 36 2E 53 54 41 0 (squid/2.6.STA 120 : 42 4C 45 31 36 29 0D 0A 58 2D 46 6F 72 77 61 72 BLE16)..X-Forwar 130 : 64 65 64 2D 46 6F 72 3A 20 31 37 32 2E 32 35 2E ded-For: 172.25. 140 : 37 30 2E 32 30 37 0D 0A 43 61 63 68 65 2D 43 6F 70.207..Cache-Co 150 : 6E 74 72 6F 6C 3A 20 6D 61 78 2D 61 67 65 3D 32 ntrol: max-age=3D2 160 : 35 39 32 30 30 0D 0A 43 6F 6E 6E 65 63 74 69 6F 59200..Connectio 170 : 6E 3A 20 6B 65 65 70 2D 61 6C 69 76 65 0D 0A 0D n: keep-alive... 180 : 0A . -- = Julio C=E9sar G=E1zquez Seguridad Inform=E1tica -- Int. 736 Municipalidad de Rosario ------------------------------------------------------------------------- This SF.net email is sponsored by: Microsoft Defy all challenges. Microsoft(R) Visual Studio 2008. http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/ _______________________________________________ Snort-users mailing list Snort-users@lists.sourceforge.net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/...fo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.p...=3Dsnort-users 
|
 |
«
Previous Thread
|
Next Thread
»
| Thread Tools | |
| Display Modes | |
Linear Mode
|
|
All times are GMT +1. The time now is 11:26 AM.
