Eu estava examinando os IDs de assinatura do Cisco IDS e me deparei com um ID 4050 que diz o acima. O que isso realmente significa? Alguém pode me explicar isso.
Responder1
Um pacote UDP é encapsulado dentro de um pacote IP. No cabeçalho IP, existe um campo de comprimento, informando o comprimento da carga útil do pacote IP. No payload fica o pacote UDP, com cabeçalho próprio, e também inclui um campo informando seu comprimento.
Portanto, você esperaria que, como o pacote UDP ficasse dentro do pacote IP, o campo de comprimento nos cabeçalhos IP correspondesse ao campo de comprimento nos cabeçalhos UDP (excluindo os próprios cabeçalhos).
Caso contrário, ele deve estar malformado, caso contrário, o que ocuparia espaço extra no pacote IP se não fosse a carga útil UDP.
A menos que haja uma falha de driver ou de hardware, isso nunca deverá acontecer e, portanto, é indicativo de um ataque de negação de serviço, onde pode não haver muito cuidado para garantir que os pacotes sejam formados corretamente.