[Snort-sigs] SID 1:1384 False Positive

nikns nikns at ...3008...
Fri Feb 25 05:59:30 EST 2005


# $Id$
#
# 

#Rule:  

--
Sid: 1:1384

--
#Summary:

--
#Impact:

--
#Detailed Information:

--
#Affected Systems:

--
#Attack Scenarios:

--
#Ease of Attack:

--
False Positives:

This rule is giving false positives. The attacker can be just a
samsung network printer ML-2550 with upnp enabled.
000 : 4E 4F 54 49 46 59 20 2A 20 48 54 54 50 2F 31 2E   NOTIFY * HTTP/1.
010 : 31 0D 0A 48 4F 53 54 3A 20 32 33 39 2E 32 35 35   1..HOST: 239.255
020 : 2E 32 35 35 2E 32 35 30 3A 31 39 30 30 0D 0A 43   .255.250:1900..C
030 : 41 43 48 45 2D 43 4F 4E 54 52 4F 4C 3A 20 6D 61   ACHE-CONTROL: ma
040 : 78 2D 61 67 65 3D 36 30 0D 0A 4C 4F 43 41 54 49   x-age=60..LOCATI
050 : 4F 4E 3A 20 68 74 74 70 3A 2F 2F 31 30 2E 31 39   ON: http://10.19
060 : 35 2E 37 2E 39 36 3A 35 32 30 30 2F 50 72 69 6E   5.7.96:5200/Prin
070 : 74 65 72 2E 78 6D 6C 0D 0A 4E 54 3A 20 75 70 6E   ter.xml..NT: upn
080 : 70 3A 72 6F 6F 74 64 65 76 69 63 65 0D 0A 4E 54   p:rootdevice..NT
090 : 53 3A 20 73 73 64 70 3A 61 6C 69 76 65 0D 0A 53   S: ssdp:alive..S
0a0 : 45 52 56 45 52 3A 20 70 53 4F 53 2F 32 2E 32 33   ERVER: pSOS/2.23
0b0 : 20 55 50 6E 50 2F 31 2E 30 20 53 41 4D 50 4C 45    UPnP/1.0 SAMPLE
0c0 : 2F 31 2E 30 0D 0A 55 53 4E 3A 20 75 75 69 64 3A   /1.0..USN: uuid:
0d0 : 53 61 6D 73 75 6E 67 2D 50 72 69 6E 74 65 72 2D   Samsung-Printer-
0e0 : 31 5F 30 2D 31 32 33 34 35 36 37 38 39 30 30 30   1_0-123456789000
0f0 : 30 3A 3A 75 70 6E 70 3A 72 6F 6F 74 64 65 76 69   0::upnp:rootdevi
100 : 63 65 0D 0A 0D 0A                                 ce....

--
#False Negatives:

--
#Corrective Action:

--
#Contributors:

-- 
#Additional References:




More information about the Snort-sigs mailing list