We'll take full-session PCAPs from anyone that has them, and go take a look at what we can do with the rule based on our research and those packets. Russell, L0rd, you two probably know where to send, since you're regulars on this list.<br>
<br><div class="gmail_quote">On Tue, Jul 27, 2010 at 10:23 AM, L0rd Ch0de1m0rt <span dir="ltr"><<a href="mailto:l0rdch0de1m0rt@...2420...">l0rdch0de1m0rt@...2420...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hello.  I too see this alert much.  25+ times alone in the past few<br>
hours.  Could it be falsing on random encrypted packets or is it real<br>
exploit attempts?  I too see the packets start with (hex):<br>
<br>
1603 0100 300b<br>
<br>
Interesting.  Any insights?<br>
<font color="#888888"><br>
-L0rd Ch0de1m0rt<br>
</font><div><div></div><div class="h5"><br>
On 7/26/10, Russell Fulton <<a href="mailto:r.fulton@...575...">r.fulton@...575...</a>> wrote:<br>
> I am seeing lots of hits on this rule -- mostly from local ISP addresses<br>
> which strongly suggests that they are FPs.<br>
><br>
> sample packet:<br>
><br>
> 16030100300B9BFA00AD<br>
> D1DC979808E896F4E7CF<br>
> 1B85338B5531AF7CF07A<br>
> 805C0320F78A1929FFEC<br>
> B2E2CCA7F1764DBDABFC<br>
> 7A0A0B<br>
><br>
><br>
> I have lots more sample if anyone wants them -- getting a full session<br>
> capture might be possible too if needed.<br>
><br>
><br>
> Russell Fulton<br>
><br>
> Information Security Officer, The University of Auckland<br>
> New Zealand<br>
><br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> The Palm PDK Hot Apps Program offers developers who use the<br>
> Plug-In Development Kit to bring their C/C++ apps to Palm for a share<br>
> of $1 Million in cash or HP Products. Visit us here for more details:<br>
> <a href="http://ad.doubleclick.net/clk;226879339;13503038;l" target="_blank">http://ad.doubleclick.net/clk;226879339;13503038;l</a>?<br>
> <a href="http://clk.atdmt.com/CRS/go/247765532/direct/01/" target="_blank">http://clk.atdmt.com/CRS/go/247765532/direct/01/</a><br>
> _______________________________________________<br>
> Snort-sigs mailing list<br>
> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...3134...ourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
><br>
<br>
------------------------------------------------------------------------------<br>
The Palm PDK Hot Apps Program offers developers who use the<br>
Plug-In Development Kit to bring their C/C++ apps to Palm for a share<br>
of $1 Million in cash or HP Products. Visit us here for more details:<br>
<a href="http://ad.doubleclick.net/clk;226879339;13503038;l" target="_blank">http://ad.doubleclick.net/clk;226879339;13503038;l</a>?<br>
<a href="http://clk.atdmt.com/CRS/go/247765532/direct/01/" target="_blank">http://clk.atdmt.com/CRS/go/247765532/direct/01/</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...435...">alex.kirk@...435...</a><br>