<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
On Sat, 2015-03-21 at 01:44 +0530, Irish Settingg wrote:
<BLOCKQUOTE TYPE=CITE>
    Anyone who could help me on this... My environment is receiving a lot of such alerts... Should I be concerned on this. When logs were checked Normal 304 connections were observed.<BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Changing the flow variable- would that be a good idea $EXTERNAL_NET $ HTTP_PORTS -> $HOME_NET any... <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Or should I think of changing the part - detection_filter:track by_dst, count 44, seconds 4 to a better number ... as my servers are easily handling the 304 responses...<BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    On 14 March 2015 at 21:41, Irish Settingg <<A HREF="mailto:irishsetting@...2420...">irishsetting@...2420...</A>> wrote:
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BLOCKQUOTE>
        The signature - OS-WINDOWS Multiple Products excessive HTTP 304 Not Modified responses exploit attempt seems to be triggering false alerts in our environment.<BR>
        <BR>
        <BR>
    </BLOCKQUOTE>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BLOCKQUOTE>
        Rule -  
    </BLOCKQUOTE>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BLOCKQUOTE>
        alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"OS-WINDOWS Multiple Products excessive HTTP 304 Not Modified responses exploit attempt"; flow:to_client,established,only_stream; content:"HTTP/1.1 304 Not Modified"; fast_pattern:only; detection_filter:track by_dst, count 44, seconds 4; metadata:service http; reference:cve,2007-0947; reference:cve,2007-6239; reference:url,<A HREF="http://technet.microsoft.com/en-us/security/bulletin/ms07-027">technet.microsoft.com/en-us/security/bulletin/ms07-027</A>; classtype:misc-activity; sid:16008; rev:14; )<BR>
        As per the rule the alert is getting triggered correctly. <BR>
        <BR>
        <BR>
    </BLOCKQUOTE>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BLOCKQUOTE>
        As per the references it is a vulnerability with IE6 and 7. but when it comes to the server, I think IE does not handle the HTTP request, it is HTTP.sys object in IIS that should handle the request and respond with the Status code.<BR>
        <BR>
        However as per the packet is concerned, 304 response messages are sent from the internal Server towards external Client machines. IE6 or 7 is ideally on the Client machine who handles the 304 response and updates the cache. So the 304 exploit should be aimed towards the Client machine. Hence this shows that the Rule should have been- <BR>
        <BR>
        $EXTERNAL_NET $ HTTP_PORTS -> $HOME_NET any<BR>
        <BR>
        <BR>
    </BLOCKQUOTE>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BLOCKQUOTE>
        Please suggest if you think there is any impact on Web servers when sending multiple 304 Not Modified responses. If there is any impact on a webserver while sending responses, reference - <I>reference:url,<A HREF="http://technet.microsoft.com/en-us/security/bulletin/ms07-027">technet.microsoft.com/en-us/security/bulletin/ms07-027</A></I> needs to be removed from the rule.<BR>
        <BR>
    </BLOCKQUOTE>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
<PRE>
------------------------------------------------------------------------------
Dive into the World of Parallel Programming The Go Parallel Website, sponsored
by Intel and developed in partnership with Slashdot Media, is your hub for all
things parallel software development, from weekly thought leadership blogs to
news, videos, case studies, tutorials and more. Take a look and join the 
conversation now. <A HREF="http://goparallel.sourceforge.net/">http://goparallel.sourceforge.net/</A>
_______________________________________________
Snort-sigs mailing list
<A HREF="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</A>
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A>
<A HREF="http://www.snort.org">http://www.snort.org</A>


Please visit <A HREF="http://blog.snort.org">http://blog.snort.org</A> for the latest news about Snort!
</PRE>
</BLOCKQUOTE>
<BR>
Please provide a packet capture if possible.<BR>
<BR>
James
</BODY>
</HTML>