[Snort-users] Alerts of "(http\_inspect) NON-RFC DEFINED CHAR"

Kristofer T. Karas ktk at ...10113...
Fri Feb 27 12:41:05 EST 2004


Jeremy Hewlett wrote:

>On Fri, Feb 27, Gabriel Assis Amancio wrote:
>  
>
>>	And now, I only receive "(http\_inspect) NON-RFC DEFINED CHAR" alerts ..
>>    
>>
>In 2.1.0, no_alerts didn't suppress NON-RFC DEFINED CHAR - this is
>fixed in 2.1.1.
>  
>

I've noticed some other odd behavior with the http_inspect preprocessor 
that might explain the huge onslaught of complaints from it against 
ordinary web browsing.  It seems as though it is looking not at the 
start of the data buffers for a given HTTP transaction, but rather 
somewhere in the middle of a random assemblage of packets (in 
particular, in the payload and not the data).

For example, here's the unabridged payload that triggered an 
APACHE_WHITESPACE_TAB alert:

	04 55 50 47 50 03 30 2E 35 00 06 00 0B 00 88 05   .UPGP.0.5.......
	57 69 6E 33 32 0E 57 69 6E 4E 54 20 35 2E 30 2E   Win32.WinNT 5.0.
	32 31 39 35 00 00 04 09 00 A0 00 28 66 33 30 35   2195.......(f305
	62 61 37 36 32 62 36 37 64 61 33 64 66 66 36 31   ba762b67da3dff61
	31 33 36 35 61 66 63 65 30 61 33 32 32 66 32 62   1365afce0a322f2b
	33 66 63 65 62 38 32 63 33 62 37 61 65 62 39 34   3fceb82c3b7aeb94
	63 38 66 34 35 38 39 62 61 31 61 33 35 62 36 39   c8f4589ba1a35b69
	30 33 64 63 32 61 63 65 61 30 63 30 39 62 30 38   03dc2acea0c09b08
	32 38 61 63 31 39 65 38 65 36 35 61 30 7C 37 57   28ac19e8e65a0|7W
	32 46 36 00 00 00 48 00 0F 00 0E 02 55 53 0A 30   2F6...H.....US.0
	32 37 36 32 2D 32 32 36 31 00 68 00 0D 0A 37 2E   2762-2261.h..7.
	30 2E 30 2E 31 34 35 32 00 02 00 0D 00 1C 0B 52   0.0.1452......R
	65 61 6C 4A 75 6B 65 62 6F 78 09 31 2E 30 2E 33   ealJukebox.1.0.3
	2E 36 33 36 00 00 00 00 00 00 00 0D 00 2E 0A 52   .636..........R
	65 61 6C 50 6C 61 79 65 72 0A 36 2E 30 2E 31 31   ealPlayer.6.0.11
	2E 38 37 32 04 46 52 45 45 02 65 6E 00 06 52 4E   .872.FREE.en..RN
	31 30 50 44 06 52 4E 39 47 50 44 00 00 02 04 EA   10PD.RN9GPD.....
	00 46 05 61 74 68 64 62 0A 37 2E 30 2E 30 2E 31   .F.athdb.7.0.0.1
	33 36 34 06 55 70 64 61 74 65 0A 37 2E 30 2E 30   364.Update.7.0.0
	2E 32 33 31 31 08 55 70 64 61 74 65 55 49 0A 37   .2311.UpdateUI.7
	2E 30 2E 30 2E 32 33 31 31 03 61 74 68 0A 37 2E   .0.0.2311.ath.7.
	30 2E 30 2E 31 33 36 34 07 52 4E 41 64 6D 69 6E   0.0.1364.RNAdmin
	0A 30 2E 31 2E 30 2E 31 36 32 32 03 4D 53 47 0A   .0.1.0.1622.MSG.
	37 2E 30 2E 30 2E 31 34 35 32 07 72 66 78 69 6E   7.0.0.1452.rfxin
	73 74 0A 37 2E 30 2E 30 2E 32 33 31 31 11 50 6C   st.7.0.0.2311.Pl
	61 79 65 72 55 6E 69 6E 73 74 42 65 67 69 6E 09   ayerUninstBegin.
	36 2E 30 2E 39 2E 34 33 36 07 52 4D 41 43 6F 72   6.0.9.436.RMACor
	65 0A 36 2E 30 2E 39 2E 32 30 30 36 05 50 4E 43   e.6.0.9.2006.PNC
	52 54 07 36 2E 30 2E 30 2E 30 04 76 73 72 63 0A   RT.6.0.0.0.vsrc.
	36 2E 30 2E 37 2E 33 32 38 30 06 50 6C 61 79 65   6.0.7.3280.Playe
	72 0A 36 2E 30 2E 31 31 2E 38 37 32 05 53 6B 69   r.6.0.11.872.Ski
	6E 73 0A 36 2E 30 2E 31 31 2E 38 37 32 04 46 72   ns.6.0.11.872.Fr
	65 65 0A 36 2E 30 2E 31 31 2E 38 37 32 02 52 41   ee.6.0.11.872.RA
	0A 36 2E 30 2E 39 2E 31 35 37 30 02 52 56 0A 36   .6.0.9.1570.RV.6
	2E 30 2E 39 2E 31 36 34 38 05 46 6C 61 73 68 0A   .0.9.1648.Flash.
	36 2E 30 2E 38 2E 33 35 35 37 05 45 6D 62 65 64   6.0.8.3557.Embed
	0A 36 2E 30 2E 38 2E 32 33 36 33 07 52 65 61 6C   .6.0.8.2363.Real
	54 78 74 0A 36 2E 30 2E 37 2E 33 36 34 36 04 69   Txt.6.0.7.3646.i
	6D 67 70 0A 36 2E 30 2E 37 2E 33 39 31 36 03 50   mgp.6.0.7.3916.P
	4E 47 0A 36 2E 30 2E 37 2E 33 36 30 33 02 47 46   NG.6.0.7.3603.GF
	0A 36 2E 30 2E 37 2E 33 37 37 38 04 52 50 69 78   .6.0.7.3778.RPix
	0A 36 2E 30 2E 37 2E 33 37 35 39 04 47 46 4A 50   .6.0.7.3759.GFJP
	0A 36 2E 30 2E 37 2E 33 37 37 38 05 53 65 74 75   .6.0.7.3778.Setu
	70 0A 37 2E 30 2E 30 2E 32 33 31 31 03 73 64 70   p.7.0.0.2311.sdp
	0A 36 2E 30 2E 37 2E 33 37 37 39 06 61 75 73 74   .6.0.7.3779.aust
	72 6D 0A 36 2E 30 2E 39 2E 31 33 39 38 07 72 70   rm.6.0.9.1398.rp
	68 6F 77 74 6F 09 36 2E 30 2E 39 2E 36 32 31 04   howto.6.0.9.621.
	4D 50 47 41 0A 36 2E 30 2E 39 2E 32 38 39 39 05   MPGA.6.0.9.2899.
	4D 50 33 50 4C 0A 36 2E 30 2E 39 2E 32 34 31 30   MP3PL.6.0.9.2410
	06 72 6A 62 76 69 7A 0A 31 2E 30 2E 32 2E 32 33   .rjbviz.1.0.2.23
	36 32 07 73 74 75 62 64 72 6D 0A 36 2E 30 2E 38   62.stubdrm.6.0.8
	2E 33 38 36 38 06 47 45 4D 49 4E 49 0A 30 2E 31   .3868.GEMINI.0.1
	2E 30 2E 31 37 36 30 05 47 45 4D 45 58 0A 30 2E   .0.1760.GEMEX.0.
	31 2E 30 2E 31 37 36 30 09 47 45 4D 58 4D 4C 42   1.0.1760.GEMXMLB
	49 4E 0A 30 2E 31 2E 30 2E 31 37 36 30 08 72 6A   IN.0.1.0.1760.rj
	6D 70 33 70 6C 6E 0A 31 2E 30 2E 32 2E 31 31 33   mp3pln.1.0.2.113
	35 08 72 6A 72 6D 6A 70 6C 6E 0A 31 2E 30 2E 32   5.rjrmjpln.1.0.2
	2E 31 31 33 35 06 77 6D 70 6C 79 72 08 36 2E 30   .1135.wmplyr.6.0
	2E 38 2E 34 33 07 74 6F 6F 6C 62 61 72 08 31 2E   .8.43.toolbar.1.
	31 2E 31 2E 32 35 07 4D 49 4E 48 45 4C 50 0A 36   1.1.25.MINHELP.6
	2E 30 2E 31 31 2E 38 37 32 05 48 4F 57 54 4F 0A   .0.11.872.HOWTO.
	36 2E 30 2E 31 31 2E 38 37 32 04 61 75 64 70 0A   6.0.11.872.audp.
	36 2E 30 2E 37 2E 34 30 36 39 04 76 69 64 70 0A   6.0.7.4069.vidp.
	36 2E 30 2E 39 2E 31 35 35 34 04 56 4D 50 47 0A   6.0.9.1554.VMPG.
	36 2E 30 2E 39 2E 32 36 30 35 06 72 6A 70 6C 75   6.0.9.2605.rjplu
	73 09 31 2E 30 2E 33 2E 39 37 32 07 72 6A 65 70   s.1.0.3.972.rjep
	6C 75 67 09 31 2E 30 2E 32 2E 36 33 36 06 72 6A   lug.1.0.2.636.rj
	70 6C 61 79 0A 31 2E 30 2E 32 2E 31 32 33 36 05   play.1.0.2.1236.
	72 6A 73 65 63 0A 31 2E 30 2E 32 2E 31 31 33 35   rjsec.1.0.2.1135
	07 72 6A 63 64 65 78 74 0A 31 2E 30 2E 32 2E 31   .rjcdext.1.0.2.1
	31 33 36 07 72 6A 63 64 69 6E 66 0A 31 2E 30 2E   136.rjcdinf.1.0.
	32 2E 31 31 33 39 06 72 6A 70 73 65 74 0A 37 2E   2.1139.rjpset.7.
	30 2E 30 2E 32 33 31 31 06 72 6A 66 69 6C 65 0A   0.0.2311.rjfile.
	31 2E 30 2E 32 2E 31 31 33 36 06 72 6A 64 6F 77   1.0.2.1136.rjdow
	6E 0A 31 2E 30 2E 32 2E 31 31 33 36 07 72 6A 63   n.1.0.2.1136.rjc
	64 72 6F 6D 09 31 2E 30 2E 32 2E 33 30 39 06 72   drom.1.0.2.309.r
	6A 69 6E 73 64 09 31 2E 30 2E 33 2E 39 37 32 07   jinsd.1.0.3.972.
	72 6A 70 64 6D 67 72 0A 31 2E 30 2E 32 2E 31 32   rjpdmgr.1.0.2.12
	33 36 06 72 6A 6A 61 76 61 0A 31 2E 30 2E 32 2E   36.rjjava.1.0.2.
	31 31 33 36 08 72 6A 72 6D 78 70 6C 6E 0A 31 2E   1136.rjrmxpln.1.
	30 2E 32 2E 31 31 33 35 06 72 6A 62 72 65 73 0A   0.2.1135.rjbres.
	31 2E 30 2E 32 2E 31 31 34 38 07 72 6A 6D 70 6D   1.0.2.1148.rjmpm
	65 64 09 31 2E 30 2E 33 2E 38 35 31 05 72 6A 64   ed.1.0.3.851.rjd
	6C 67 09 31 2E 30 2E 33 2E 39 34 35 07 72 6A 6D   lg.1.0.3.945.rjm
	70 7A 69 70 09 31 2E 30 2E 33 2E 38 33 36 0C 70   pzip.1.0.3.836.p
	64 62 75 72 6E 70 6C 75 67 69 6E 09 31 2E 30 2E   dburnplugin.1.0.
	30 2E 31 39 34 0C 70 64 62 75 72 6E 65 6E 67 69   0.194.pdburnengi
	6E 65 09 31 2E 30 2E 30 2E 31 39 34 0D 70 64 62   ne.1.0.0.194pdb
	75 72 6E 73 75 70 70 6F 72 74 09 31 2E 30 2E 30   urnsupport.1.0.0
	2E 31 39 34 08 66 66 74 72 61 6E 73 63 09 31 2E   .194.fftransc.1.
	30 2E 30 2E 31 36 32 08 64 74 64 72 70 6C 69 6E   0.0.162.dtdrplin
	09 36 2E 30                                       .6.0


Note that this is not anywhere near the header of an HTTP GET or POST 
request.

Another common idiom I'll see with the payload is to have a "GET ... 
HTTP/1.1" request right in the middle of some other payload.   For 
example, here's the start of the payload for a "NOT RFC HTTP DELIMETER" 
alert, pretty printed.  Note the "GET /images/dot_clear.gif" right smack 
in the middle of some javascript HREF from a previous GET request:

	 Fonseca</a> </td>
	<td>RE: manera </td>
	<td>Feb 26</td>
	<td align=right>1KB</td></tr>
	<tr name="xxxxxx at ...11334...">
	<td>
	</td>
	<td><img src="http://65.54.172.24/i.F42AB.gif" class="KK" alt='Read'></td>
	<td></td>
	<td><input type="checkbox" name="MSG1077904931.15" onClick="CCA(this)"></td>
	<td></td>
	<td><a href="javascript:G('/cgi-bin/getmsg?msg=MSG1077904931.15&sGET /images/dot_clear.gif HTTP/1.1
	Host: www.molecularcloning.com
	Accept: image/gif, image/jpeg, image/x-png, image/png, image/xbm, image/xbitmap, image/x-xbitmap, */*
	Accept-Language: en
	Connection: Keep-Alive
	Referer: http://www.molecularcloning.com/
	User-Agent: Mozilla/4.0 (compatible; MSIE 5.23; Mac_PowerPC)


I think this packet buffer mangling may be what's responsible for all 
the alerts...

Kris





More information about the Snort-users mailing list