Estaba revisando los ID de firma de Cisco IDS y encontré un ID 4050 que dice lo anterior. ¿Qué significa en realidad? Puede alguien explicarme esto.
Respuesta1
Un paquete UDP está encapsulado dentro de un paquete IP. En el encabezado IP, hay un campo de longitud que indica la longitud de la carga útil del paquete IP. En la carga útil se encuentra el paquete UDP, con su propio encabezado, y también incluye un campo que indica su longitud.
Por lo tanto, es de esperar que, dado que el paquete udp se encuentra dentro del paquete IP, el campo de longitud en los encabezados IP coincida con el campo de longitud en los encabezados UDP (excluyendo los encabezados mismos).
De lo contrario, debe tener un formato incorrecto; de lo contrario, lo que ocuparía el espacio adicional en el paquete IP si no es la carga útil UDP.
A menos que haya una falla en el controlador o en el hardware, esto nunca debería suceder y, por lo tanto, es indicativo de un ataque de denegación de servicio, donde es posible que no se tenga mucho cuidado para garantizar que los paquetes se formen correctamente.