Я просматривал идентификаторы подписей Cisco IDS и наткнулся на идентификатор 4050, который говорит выше. Что это на самом деле означает? Может кто-нибудь объяснить мне это.
решение1
UDP-пакет инкапсулируется внутри IP-пакета. В заголовке IP есть поле длины, указывающее длину полезной нагрузки IP-пакета. В полезной нагрузке находится UDP-пакет с собственным заголовком, а также включает поле, указывающее его длину.
Таким образом, можно ожидать, что, поскольку пакет UDP находится внутри пакета IP, поле длины в заголовках IP должно совпадать с полем длины в заголовках UDP (исключая сами заголовки).
Если нет, то он, должно быть, неправильно сформирован, иначе что бы занимало дополнительное место в IP-пакете, если не полезная нагрузка UDP.
Если только не произошел сбой драйвера или оборудования, этого не должно произойти, и это может быть признаком атаки типа «отказ в обслуживании», при которой не уделяется должного внимания обеспечению правильного формирования пакетов.