Правило Snort не может отправить предупреждение в журнал

Я пишу собственное правило для следующего эксплойта: http://www.exploit-db.com/exploits/36100/

Я запустил эксплойт, и пакет, для которого я пишу правило, можно увидеть здесь: http://txt.do/cxgb

Это текущее правило, которое я использую:

alert tcp any any -> any any (msg:"X360 VideoPlayer ActiveX Control Buffer Overflow"; flow:to_server,established; content:"\x64\xa1\x18\x00\x00\x00\x83\xc0\x08\x8b\x20\x81\xc4\x30\xf8\xff\xff"; fast_pattern; http_client_body; metadata: service http; sid:1000007; rev:1;)

Однако Snort не предупреждает об этом. Кто-нибудь может понять, почему? Заранее спасибо.


intrusion-detection snort
person BuffetOverFlow    schedule 10.03.2015    source источник
comment
Я знаю, что это помогает, когда указываются номера портов, однако для этого конкретного эксплойта номер порта меняется каждый раз, поэтому я не могу ввести номер порта в конфигурацию препроцессора http для портов.   -  person BuffetOverFlow    schedule 10.03.2015

Ответы (1)


arrow_upward
1
arrow_downward

Как вы упомянули в своем комментарии, поскольку у вас нет указанного порта, snort не будет обрабатывать трафик как http и, следовательно, не будет заполнять буферы http. Поскольку это так, вам нужно удалить модификатор содержимого http, потому что он никогда не будет совпадать. Выньте "http_client_body".

Чтобы соответствовать буквальному символу \, вам нужно экранировать его с помощью \, например, "\\x64"

Кроме того, этот контент передается с сервера на клиент (он обслуживает http-страницу). Вам нужно изменить поток на "поток: to_client, установлен"

person johnjg12    schedule 11.03.2015
comment
Я также только что заметил, что snort не любит \ как часть контента, верно? Если да, то если я уберу все \ из содержимого, будет ли это все еще соответствовать? - person BuffetOverFlow; 11.03.2015
comment
На самом деле я думаю, что вам нужно поставить дополнительный \ перед всеми \, потому что это escape-символ, поэтому, чтобы получить литерал \, вам нужно его экранировать. - person johnjg12; 11.03.2015
comment
Ваше направление потока также обратное. Смотрите мой отредактированный ответ, дайте мне знать, если это не решит проблему. - person johnjg12; 12.03.2015