Re: [Snort-users] Bare byte alerts but no non-ASCII characters!

That doesn't really help. There is no indication of any bare byte =

encoding here. The basic check in Snort looks for a byte > 0x7F. It =

would be very helpful if you could post a pcap. Make sure it fires on =

the bare byte encoding by running it against Snort in read mode.

Thanks,
Todd

Julio Cesar Gazquez wrote:
> El Jueves 21 Febrero 2008 11:48:54 escribi=F3:
>> Julio,
>>
>> Can you post a pcap of the offending traffic (if it contains sensitive
>> info, post to bugs@snort.org) so we can attempt to debug the issue.
>>
> =

> Here are two packets copied from BASE. If you need the raw thing I'll loo=
k for =

> it.
> =

> 000 : 47 45 54 20 2F 73 69 74 69 6F 2F 62 61 72 72 61 GET /sitio/barra
> 010 : 73 75 70 65 72 69 6F 72 2F 69 6D 61 67 65 6E 65 superior/imagene
> 020 : 73 2F 69 6E 69 63 69 6F 5F 6F 75 74 2E 70 6E 67 s/inicio_out.png
> 030 : 20 48 54 54 50 2F 31 2E 30 0D 0A 41 63 63 65 70 HTTP/1.0..Accep
> 040 : 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 72 3A t: */*..Referer:
> 050 : 20 68 74 74 70 3A 2F 2F 77 77 77 2E 72 6F 73 61 http://www.rosa
> 060 : 72 69 6F 2E 67 6F 76 2E 61 72 2F 73 69 74 69 6F rio.gov.ar/sitio
> 070 : 2F 70 61 67 69 6E 61 69 6E 69 63 69 61 6C 2F 0D /paginainicial/.
> 080 : 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 .Accept-Language
> 090 : 3A 20 65 73 0D 0A 55 73 65 72 2D 41 67 65 6E 74 : es..User-Agent
> 0a0 : 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 : Mozilla/4.0 (c
> 0b0 : 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 ompatible; MSIE =

> 0c0 : 36 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 6.0; Windows NT =

> 0d0 : 35 2E 31 3B 20 53 56 31 3B 20 2E 4E 45 54 20 43 5.1; SV1; .NET C
> 0e0 : 4C 52 20 31 2E 31 2E 34 33 32 32 3B 20 2E 4E 45 LR 1.1.4322; .NE
> 0f0 : 54 20 43 4C 52 20 32 2E 30 2E 35 30 37 32 37 29 T CLR 2.0.50727)
> 100 : 0D 0A 48 6F 73 74 3A 20 77 77 77 2E 72 6F 73 61 ..Host: www.rosa
> 110 : 72 69 6F 2E 67 6F 76 2E 61 72 0D 0A 43 6F 6F 6B rio.gov.ar..Cook
> 120 : 69 65 3A 20 4A 53 45 53 53 49 4F 4E 49 44 3D 39 ie: JSESSIONID=3D9
> 130 : 43 46 46 43 42 33 43 33 32 37 37 31 44 32 33 35 CFFCB3C32771D235
> 140 : 33 43 42 46 46 31 30 42 34 30 45 35 43 35 34 2E 3CBFF10B40E5C54.
> 150 : 6E 6F 64 6F 32 5F 74 6F 6D 63 61 74 30 32 0D 0A nodo2_tomcat02..
> 160 : 56 69 61 3A 20 31 2E 30 20 50 72 6F 78 79 38 30 Via: 1.0 Proxy80
> 170 : 38 30 3A 38 30 38 30 20 28 73 71 75 69 64 2F 32 80:8080 (squid/2
> 180 : 2E 35 2E 53 54 41 42 4C 45 31 34 29 2C 20 31 2E .5.STABLE14), 1.
> 190 : 30 20 67 61 69 61 2E 6E 65 78 74 65 6C 2E 63 6F 0 gaia.nextel.co
> 1a0 : 6D 2E 61 72 3A 38 30 38 30 20 28 73 71 75 69 64 m.ar:8080 (squid
> 1b0 : 2F 32 2E 35 2E 53 54 41 42 4C 45 31 34 29 0D 0A /2.5.STABLE14)..
> 1c0 : 58 2D 46 6F 72 77 61 72 64 65 64 2D 46 6F 72 3A X-Forwarded-For:
> 1d0 : 20 31 30 2E 31 30 31 2E 36 37 2E 36 36 2C 20 31 10.101.67.66, 1
> 1e0 : 30 2E 31 30 31 2E 30 2E 38 31 0D 0A 43 61 63 68 0.101.0.81..Cach
> 1f0 : 65 2D 43 6F 6E 74 72 6F 6C 3A 20 6D 61 78 2D 61 e-Control: max-a
> 200 : 67 65 3D 32 35 39 32 30 30 0D 0A 43 6F 6E 6E 65 ge=3D259200..Conne
> 210 : 63 74 69 6F 6E 3A 20 6B 65 65 70 2D 61 6C 69 76 ction: keep-aliv
> 220 : 65 0D 0A 0D 0A e....
> =

> =

> 000 : 47 45 54 20 2F 73 69 74 69 6F 2F 61 67 65 6E 64 GET /sitio/agend
> 010 : 61 2F 69 6D 61 67 65 6E 65 73 2F 74 6F 70 2E 6A a/imagenes/top.j
> 020 : 70 67 20 48 54 54 50 2F 31 2E 30 0D 0A 41 63 63 pg HTTP/1.0..Acc
> 030 : 65 70 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 ept: */*..Refere
> 040 : 72 3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 72 6F r: http://www.ro
> 050 : 73 61 72 69 6F 2E 67 6F 76 2E 61 72 2F 73 69 74 sario.gov.ar/sit
> 060 : 69 6F 2F 61 67 65 6E 64 61 2F 61 67 65 6E 64 61 io/agenda/agenda
> 070 : 2E 68 74 6D 6C 0D 0A 41 63 63 65 70 74 2D 4C 61 .html..Accept-La
> 080 : 6E 67 75 61 67 65 3A 20 65 73 2D 63 6C 0D 0A 55 nguage: es-cl..U
> 090 : 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C ser-Agent: Mozil
> 0a0 : 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 la/4.0 (compatib
> 0b0 : 6C 65 3B 20 4D 53 49 45 20 36 2E 30 3B 20 57 69 le; MSIE 6.0; Wi
> 0c0 : 6E 64 6F 77 73 20 4E 54 20 35 2E 31 3B 20 53 56 ndows NT 5.1; SV
> 0d0 : 31 29 0D 0A 48 6F 73 74 3A 20 77 77 77 2E 72 6F 1)..Host: www.ro
> 0e0 : 73 61 72 69 6F 2E 67 6F 76 2E 61 72 0D 0A 56 69 sario.gov.ar..Vi
> 0f0 : 61 3A 20 31 2E 30 20 6C 6F 63 61 6C 68 6F 73 74 a: 1.0 localhost
> 100 : 2E 6C 6F 63 61 6C 64 6F 6D 61 69 6E 3A 38 30 38 .localdomain:808
> 110 : 30 20 28 73 71 75 69 64 2F 32 2E 36 2E 53 54 41 0 (squid/2.6.STA
> 120 : 42 4C 45 31 36 29 0D 0A 58 2D 46 6F 72 77 61 72 BLE16)..X-Forwar
> 130 : 64 65 64 2D 46 6F 72 3A 20 31 37 32 2E 32 35 2E ded-For: 172.25.
> 140 : 37 30 2E 32 30 37 0D 0A 43 61 63 68 65 2D 43 6F 70.207..Cache-Co
> 150 : 6E 74 72 6F 6C 3A 20 6D 61 78 2D 61 67 65 3D 32 ntrol: max-age=3D2
> 160 : 35 39 32 30 30 0D 0A 43 6F 6E 6E 65 63 74 69 6F 59200..Connectio
> 170 : 6E 3A 20 6B 65 65 70 2D 61 6C 69 76 65 0D 0A 0D n: keep-alive...
> 180 : 0A .
> =

> =

> =

> =



-------------------------------------------------------------------------
This SF.net email is sponsored by: Microsoft
Defy all challenges. Microsoft(R) Visual Studio 2008.
http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/
_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/...fo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.p...=3Dsnort-users