Hallo,
was sagen mir folgende Meldungen von Snort:
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY
(http_inspect) BARE BYTE UNICODE ENCODING
(http_inspect) OVERSIZE CHUNK ENCODING
Bin beim Googeln nicht wirklich weitergekommen, wobei mein Englisch auch nicht so super ist ;-)
Besten Dank im vorraus für Eure Hilfe.
Hilfe zu Snort
Re: Hilfe zu Snort
http_inspect ist ein Präprozessor von snort.
Als ich angefangen habe mit snort rumzuspielen hat mich das auch stark irritiert, und ich habe tagelang gegooglet.
Aber wirklich gefunden habe ich dazu auch nicht... Nur ein paar Hinweise auf IIS Probleme / Konfigurationsfehler und sowas.
Einigermaßen gute Infos (und Konfigurationsparameter für diesen preprocessor) habe ich dann einer readme gefunden, die seinerzeit beim debian package dabei war. Ob die bei den eigentlichen snort quellen dabei ist weiß ich grad nicht.
Ich jedenfalls nehme diese Meldungen zu Kenntnis, störe mich aber nicht groß daran...
Wäre natürlich toll wenn jemand noch mehr Infos dazu hat!
Als ich angefangen habe mit snort rumzuspielen hat mich das auch stark irritiert, und ich habe tagelang gegooglet.
Aber wirklich gefunden habe ich dazu auch nicht... Nur ein paar Hinweise auf IIS Probleme / Konfigurationsfehler und sowas.
Einigermaßen gute Infos (und Konfigurationsparameter für diesen preprocessor) habe ich dann einer readme gefunden, die seinerzeit beim debian package dabei war. Ob die bei den eigentlichen snort quellen dabei ist weiß ich grad nicht.
Ich jedenfalls nehme diese Meldungen zu Kenntnis, störe mich aber nicht groß daran...
Wäre natürlich toll wenn jemand noch mehr Infos dazu hat!
Re: Hilfe zu Snort
Schön noch ein paar andere gefunden zu haben ;-)
Ich hab bei meinen Snort beobachtungen auch
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY
aber noch viel mehr 200000 in 16 Stunden
(http_inspect) DOUBLE DECODING ATTACK
gehabt.
Die Double Decoding sind soweit ich das sehen kann bei mir duch legitime Webseiten zustande gekommen, die
Oversize Request URI warnt einfqach nur, wenn die URL + Parameter länger ist als der Wert in der Konfig für den http_inspect Preprozessor.
Oft ist das OK, (halt nen Haufen Parameter), manchmal sind es aber auch RBot Angriffe gewesen, dafür wollt eich mal ne Regel schreiben.. (es zumindest versuchen). Die RBots erkennt man durch die FBQUFFBQUF (oder so ähnlich) im Payload. (halt ne Base64 codierte Noop rutsche).
Ich hab bei meinen Snort beobachtungen auch
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY
aber noch viel mehr 200000 in 16 Stunden
(http_inspect) DOUBLE DECODING ATTACK
gehabt.
Die Double Decoding sind soweit ich das sehen kann bei mir duch legitime Webseiten zustande gekommen, die
Oversize Request URI warnt einfqach nur, wenn die URL + Parameter länger ist als der Wert in der Konfig für den http_inspect Preprozessor.
Oft ist das OK, (halt nen Haufen Parameter), manchmal sind es aber auch RBot Angriffe gewesen, dafür wollt eich mal ne Regel schreiben.. (es zumindest versuchen). Die RBots erkennt man durch die FBQUFFBQUF (oder so ähnlich) im Payload. (halt ne Base64 codierte Noop rutsche).