Ich habe die Signatur-IDs der Cisco IDS durchgesehen und bin auf eine ID 4050 gestoßen, die das oben genannte besagt. Was bedeutet das eigentlich? Kann mir das jemand erklären?
Antwort1
Ein UDP-Paket ist in einem IP-Paket gekapselt. Im IP-Header befindet sich ein Längenfeld, das die Länge der Nutzlast des IP-Pakets angibt. In der Nutzlast befindet sich das UDP-Paket mit seinem eigenen Header und enthält ebenfalls ein Feld, das seine Länge angibt.
Da sich das UDP-Paket im IP-Paket befindet, würden Sie daher erwarten, dass das Längenfeld in den IP-Headern mit dem Längenfeld in den UDP-Headern (ausgenommen die Header selbst) übereinstimmt.
Wenn nicht, muss es fehlerhaft sein, denn sonst würde der zusätzliche Platz im IP-Paket durch die UDP-Nutzlast beansprucht.
Sofern kein Treiber- oder Hardwarefehler vorliegt, sollte dies nie passieren und ist daher ein Anzeichen für einen Denial-of-Service-Angriff, bei dem möglicherweise nicht besonders darauf geachtet wird, dass die Pakete richtig gebildet werden.