TCP协议
在snort的专栏里面,以DVWA之反射型XSS攻击为例
问题描述
反射型XSS使用的是HTTP协议,经GET方法发起攻击,然而我的snort规则所用的协议却是TCP,它是怎么去检测HTTP的?
附上规则内容:
alert tcp any any -> any any (msg:"DVWA-XSS_r漏洞攻击"; flow:to_server,established; uricontent:"DVWA-master/vulnerabilities/xss_r"; fast_pattern:only; uricontent:"name="; nocase; pcre:"/name[\s=]+?.+?(%3c|\x3c|<).+?(%3E|\x3E|>)/iU"; metadata:service http; sid:3; rev:1;)
一些思考
首先观察这个数据包,可以看到攻击的主要内容在红色部分,虽然用“三次握手”或者wireshark的TCP追踪流,能解释snort的协议应该使用的是TCP协议,但总觉得牵强。因为TCP是网络层的协议,要是分析数据包也应该是分析网络层及网络层之下的协议,不应该分析网路层上面的协议。
正解
1:认为应该分析网络层及网络层之下的协议是错误的。
我产生这个想法是受wireshark红色框选部分影响,想当然的认为如果分析网络层就应该能够分析网络层及数据链路层的协议
2:snort使用TCP协议就能分析HTTP协议是因为协议封装。
数据包经过一层就会加封一层,应用层的内容是TCP的数据部分,所以分析TCP协议就可以看到TCP数据部分的内容——HTTP
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之家整理,本文链接:https://www.bmabk.com/index.php/post/134355.html
