DNS.Name.Overflow, HTTP.Request.Smuggling

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

DNS.Name.Overflow, HTTP.Request.Smuggling

Mensaje por Mvasquez »

Hola, tengo unas IP de mi LAN que estan con problemas es un Active Directory (DNS interno)
192.168.0.10 es el top de las sesiones en mi FW
necesito hacer reglas en IPS :mrgreen:



Fecha y Hora Desde Para Servicio Ataque

2010-06-10 16:34:43 164.77.49.50 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-10 08:28:45 195.34.161.132 192.168.0.10 53194/udp dns_decoder: DNS.Name.Overflow
2010-06-10 08:28:37 62.116.163.100 192.168.0.10 60194/udp dns_decoder: DNS.Name.Overflow
2010-06-09 08:08:47 62.116.163.100 192.168.0.10 58296/udp dns_decoder: DNS.Name.Overflow
2010-06-08 20:10:44 190.46.220.210 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 20:10:44 190.46.220.210 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 16:42:24 192.168.0.153 74.200.228.181 http a-ipdf: HTTP.URI.Overflow
2010-06-08 12:22:16 161.25.178.51 192.168.0.159 49171/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 12:22:01 161.25.178.51 192.168.0.159 49168/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 08:28:38 62.116.163.100 192.168.010 54575/udp dns_decoder: DNS.Name.Overflow
2010-06-06 09:36:34 64.207.128.18 192.168.0.10 51743/udp dns_decoder: DNS.Name.Overflow
2010-06-05 18:29:50 62.116.163.100 192.168.0.10 60305/udp dns_decoder: DNS.Name.Overflow
2010-06-05 04:58:11 62.116.163.100 192.168.0.10 54735/udp dns_decoder: DNS.Name.Overflow
Versión de firmware 200B v5.0 (GA Patch 7)
eduardo73
Mensajes: 13
Registrado: 08 Nov 2009, 21:48

Re: DNS.Name.Overflow, HTTP.Request.Smuggling

Mensaje por eduardo73 »

El DNS.Name.Overflow puede ser un falso positivo, tendrías que ver realmente contra que resolución de nombre te lo da. No tiene porque ser un ataque.
Lo mismo le pasa al HTTP.Request.Smuggling. Algunas webs te lo pueden provocar sobre todo si "juegan" con los formatos de las URIs no siendo necesariamente un hacking.
fstrier
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Re: DNS.Name.Overflow, HTTP.Request.Smuggling

Mensaje por fstrier »

Eduardo, el HTTP.Request.Smuggling me aparece en muchos equipos, con Forti 3 y con Forti 4, es lo mismo (seguramente mismo motor de IPS).

¿Tenes idea de donde averiguar bien que es lo que hace que genere este falso positivo? quizas se pueda mandar un feedback a fortinet para evitar esto.
Responder