最近、snortから、ネットワークにユーザーのコンピューターがあり、発信TFTP要求が開始されていることが通知されました。奇妙なことに、宛先は255.255.255.255です
これが何であるかについて誰かが手がかりを持っていますか?
承認されたペイロード:
0000000:00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 00 ..router.conf.netascii。
0000000:00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61 ..Boot\x86\wdsnbp.com.neta 000001A:73 63 69 69 00 scii。
0000000: 00 01 72 6f 75 74 65 72 2e 63 6f 6e 66 00 6e 65 74 61 73 63 69 69 00
..router.conf.netascii.
これはおそらくルーターであり、netasciiエンコードでrouter.confファイルを要求します。
0000000: 00 01 42 6f 6f 74 5c 78 38 36 5c 77 64 73 6e 62 70 2e 63 6f 6d 00 6e 65 74 61
000001A: 73 63 69 69 00
..Boot\x86\wdsnbp.com.netascii.
これは Windows PEPXEによる起動 での試行です。
TFTPはUDPをトランスポートとして使用するため(コーディングのオーバーヘッドを非常に軽く保つため、TrvialFTP)、マシンを許可するブロードキャストアドレスを使用してアクセスすることもできます。ネットワークに関する構成情報なしで起動し、構成ファイルまたは実行可能ファイルを取得して、ブートプロセスを支援します。
何が起こっているのかを把握したい場合は、関連する住所を記録して追跡します。ただし、トリアージは通常のネットブート操作です。とはいえ、これはまだいくつかの点で侵入者にとって便利な場合があります。