Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

DNS.Name.Overflow, HTTP.Request.Smuggling

https://www.fortigate.es/viewtopic.php?t=1339

Página 1 de 1

DNS.Name.Overflow, HTTP.Request.Smuggling

Publicado: 11 Jun 2010, 22:18
por Mvasquez
Hola, tengo unas IP de mi LAN que estan con problemas es un Active Directory (DNS interno)
192.168.0.10 es el top de las sesiones en mi FW
necesito hacer reglas en IPS :mrgreen:



Fecha y Hora Desde Para Servicio Ataque

2010-06-10 16:34:43 164.77.49.50 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-10 08:28:45 195.34.161.132 192.168.0.10 53194/udp dns_decoder: DNS.Name.Overflow
2010-06-10 08:28:37 62.116.163.100 192.168.0.10 60194/udp dns_decoder: DNS.Name.Overflow
2010-06-09 08:08:47 62.116.163.100 192.168.0.10 58296/udp dns_decoder: DNS.Name.Overflow
2010-06-08 20:10:44 190.46.220.210 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 20:10:44 190.46.220.210 192.168.0.14 http http_decoder: HTTP.Request.Smuggling
2010-06-08 16:42:24 192.168.0.153 74.200.228.181 http a-ipdf: HTTP.URI.Overflow
2010-06-08 12:22:16 161.25.178.51 192.168.0.159 49171/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 12:22:01 161.25.178.51 192.168.0.159 49168/tcp http_decoder: HTTP.Request.Smuggling
2010-06-08 08:28:38 62.116.163.100 192.168.010 54575/udp dns_decoder: DNS.Name.Overflow
2010-06-06 09:36:34 64.207.128.18 192.168.0.10 51743/udp dns_decoder: DNS.Name.Overflow
2010-06-05 18:29:50 62.116.163.100 192.168.0.10 60305/udp dns_decoder: DNS.Name.Overflow
2010-06-05 04:58:11 62.116.163.100 192.168.0.10 54735/udp dns_decoder: DNS.Name.Overflow

Re: DNS.Name.Overflow, HTTP.Request.Smuggling

Publicado: 12 Jun 2010, 21:58
por eduardo73
El DNS.Name.Overflow puede ser un falso positivo, tendrías que ver realmente contra que resolución de nombre te lo da. No tiene porque ser un ataque.
Lo mismo le pasa al HTTP.Request.Smuggling. Algunas webs te lo pueden provocar sobre todo si "juegan" con los formatos de las URIs no siendo necesariamente un hacking.

Re: DNS.Name.Overflow, HTTP.Request.Smuggling

Publicado: 14 Jun 2011, 16:34
por fstrier
Eduardo, el HTTP.Request.Smuggling me aparece en muchos equipos, con Forti 3 y con Forti 4, es lo mismo (seguramente mismo motor de IPS).

¿Tenes idea de donde averiguar bien que es lo que hace que genere este falso positivo? quizas se pueda mandar un feedback a fortinet para evitar esto.
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España