A. Descifrar la siguiente regla:
alert tcp any 110 -> any any (msg:"Virus - Posible Virus-Worm Timofonica";
alert tcp any 110 -> content: "filename=\"TIMOFONICA.TXT.vbs\""; nocase;
alert tcp any 110 -> reference:MCAFEE,98674; sid:799; classtype:misc-activity;
rev:3;)
B. Crear una regla para detectar download de ficheros *.MP3.
Una posible solución:
alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg: "Cuidado, están descargando MP3";flags: AP; content: ".mp3";)
Teoría para esta práctica
En
TCP cuando una aplicación desea asegurarse de que todos los datos que han pasado al nivel inferior se han transmitido, es decir, necesita estar segura de que todos los datos pasados a TCP han llegado al destino, se utiliza la función
PUSH (enviar inmediatamente o empujar los datos).
Si se ejecuta una aplicación de cliente en un equipo con
una implementación de TCP/IP que no establece el bit PUSH en las operaciones de envío, se pueden producir retrasos en la respuesta. Por tanto, las aplicaciones dedicadas a la transmisión de datos es norma común el establecer este bit. Esto lo podemos verificar claramente observando cualquier traza de
TCPDump/Windump o
**Ethereal** si capturamos alguna trasmisión de información entre host de nuestra red.
Por otra parte, en cualquier transmisión de datos siempre se envían mensajes de acuse de recibo
(ACK - Acknowledgement) conforme se van va recibiendo las tramas
(Asentimiento de datos).
Resumiendo. En cualquier transmisión de datos,
una vez establecida la conexión TCP tenemos:
- Un indicador P es el flag P (push) presente en la cabecera del paquete TCP, indicando que se trata de un paquete normal conteniendo datos.
- Un ack=x indica que se está confirmando la recepción correcta de datos hasta un determinado número de secuencia.
