[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00185] Re: snort exploit rules

To: security-talk@xxxxxxxxxxxxx
Subject: [stalk:00185] Re: snort exploit rules
From: MICKY <micky@xxxxxxxxx>
Date: Thu, 29 Mar 2001 12:20:12 +0900



みっきーです。

[stalk:00182] はぎやまさん
> 3/28付けでsnortのrule setがupdateされましたが、EXPLOIT - Named
> tsig infoleakがudpからtcpに変わっているような...

手元のルールを確認したところ、このルールが追加された時点でTCPに
なってました。しばらく運用していて、dns iqueryは検出されて、ペイ
ロードを覗くとABCD 0980....になってて、「これって撃たれてるよ」
と気づくも、アラートが出てなくて不思議に思ってましたが、これで原
因がわかりました。

# なんかの間違っちゃたんじゃないのかな？

> 私の管理するサイトでは、最近tcpとudpの双方でsnortのデバックコー
> ドがABCD 0980...を確認しているのですが、namedに対する攻撃はtcp,
> udpとも成立するのでしょうか？

TSIGはTCP上でも使われるようですけど、TCP上で攻撃が成立するかどうか
はわかりません。ペイロードがABCD..ですから件のH.U.Cで使われた物(元
はポーランド産)と同一かなぁと思われますが、TCPで動くようには思えな
いので他の物でしょうかねぇ？


>----- みっきーのネットワーク研究所 -----<
>  http://www.hawkeye.ac/micky           <
>  所長：犬のみっきー <micky@xxxxxxxxx>  <
>----------------------------------------<

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
            ★投げる！ 打つ！ 走る！ 春の高校野球放送中！★
○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○

Follow-Ups:
- [stalk:00187] Re: snort exploit rules
  - From: Minoru Hagiyama

References:
- [stalk:00182] snort exploit rules
  - From: Minoru Hagiyama

Prev by Date: [stalk:00184] Re: NHK で HUC の報道＞録画
Next by Date: [stalk:00186] Re: NHK で HUC の報道＞録画
Previous by thread: [stalk:00182] snort exploit rules
Next by thread: [stalk:00187] Re: snort exploit rules
Index(es):
- Date
- Thread