Re: [Snort-users] Snort Sig 4135 IE JPEG heap overflow problem

The byte tests are the important piece of detection here. Before I can 
explain what they're doing, though, I need to give people quick overview 
of how JPEGs are structured (this is not necessarily perfect or 
complete, but it's at least usable).

* Start-of-Image marker (0xFF 0xD8), JPEG marker
* Quantization Tables (each marked by 0xFF 0xDB)
* Frame
* Start-of-Frame marker (0xFF 0xC[^4])
* Size of frame header (2 bytes)
* Precision (1 byte)
* Number of lines (2 bytes)
* Samples/line (2 bytes)
* Number of components (1 byte)
* For each component, the following:
* ID (1 byte)
* Sampling Factors (1 byte)
* Quantization Table selector (1 byte)
* Huffman Tables or Arithmetic Coding Tables (0xFF 0xC4 or 0xFF 0xCC)
* Scan
* Start-of-Scan marker (0xFF 0xDA)
* Size of scan header (2 bytes)
* Number of components in scan (1 byte -- can only be 1-4)
* For each component, the following:
* Component ID (1 byte -- corresponds to frame components defined above)
* Entropy coding table selector (1 byte)
...

The vulnerability arises when the order of the scan components does not 
match up with the order of the frame components. For example, if in the 
frame header the component IDs were defined as

1, 2, 3

but in the scan header, the component ID selectors were defined as

3, 2, 1

the problem would occur. Note that the issue is heap corruption, so this 
does not necessarily cause an immediate crash (my testing showed that it 
took some random number of loads of a malicious image between 1 and 
about 10 lto cause a crash).

The VRT's research indicated that there were only two acceptable 
sequences of scan components when 3 were present:

1, 2, 3
1, 4, 5

However, your false positives prove otherwise -- especially since the 
image you sent me (FP #2 below) does render correctly. Thus, we need to 
further research the possible combinations (and indeed whether there 
really is a fixed set of possible combinations) and revise the rule 
accordingly. Since this could take some time, I would recommend 
disabling the rule for now if it's causing you trouble.

Alex Kirk
Research Analyst
Sourcefire, Inc.

> Help, this new signature keeps giving me FP’s and I can’t figure out 
> what the code is looking for.
>
> Here is the signature:
>
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT 
> IE JPEG heap overflow single packet attempt"; 
> flow:to_client,established; content:"image/";
>
> nocase; pcre:"/^Content-Type\s*\x3a\s*image\x2fp?jpe?g/smi";
>
> content:"|FF DA|";
>
> content:"|03|";
>
> within:1;
>
> distance:2;
>
> byte_test:1,!=,1,0,relative;
>
> byte_test:1,!=,2,1,relative;
>
> byte_test:1,!=,4,-1,relative;
>
> byte_test:1,!=,3,1,relative;
>
> byte_test:1,!=,5,-1,relative;
>
> I’m no programmer but it looks like it’s looking for a jpeg that 
> contains the hex FF DA and 03 within 2 byte range? I don’t see the 
> logic behind this or how this looks for these vulnerabilities. Can 
> someone enlighten me, or is this just a poor signature I should 
> exclude for now? Thanks.
>
> A few packets from the FP’s are below.
>
> Jon Scheidell
>
> bugtraq: 14282 <http://www.securityfocus.com/bid/14282>
> bugtraq: 14284 <http://www.securityfocus.com/bid/14284>
> cve: 2005-1988 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-1988>
> url: www.microsoft.com/technet/security/bulletin/MS05-038.mspx 
> <http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx>
>
> Some FP, packets:
>
> 1.)
>
> 000 : 48 54 54 50 2F 31 2E 30 20 32 30 30 20 4F 4B 0D   HTTP/1.0 200 OK.
>
> 010 : 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 2F   .Server: Apache/
>
> 020 : 32 2E 30 2E 35 30 20 28 55 6E 69 78 29 0D 0A 4C   2.0.50 (Unix)..L
>
> 030 : 61 73 74 2D 4D 6F 64 69 66 69 65 64 3A 20 4D 6F   ast-Modified: Mo
>
> 040 : 6E 2C 20 32 38 20 4D 61 72 20 32 30 30 35 20 31   n, 28 Mar 2005 1
>
> 050 : 39 3A 32 31 3A 30 32 20 47 4D 54 0D 0A 45 54 61   9:21:02 GMT..ETa
>
> 060 : 67 3A 20 22 37 61 34 64 33 32 2D 31 35 61 38 2D   g: "7a4d32-15a8-
>
> 070 : 37 31 64 32 30 33 38 30 22 0D 0A 41 63 63 65 70   71d20380"..Accep
>
> 080 : 74 2D 52 61 6E 67 65 73 3A 20 62 79 74 65 73 0D   t-Ranges: bytes.
>
> 090 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A   .Content-Length:
>
> 0a0 : 20 35 35 34 34 0D 0A 43 6F 6E 74 65 6E 74 2D 54    5544..Content-T
>
> 0b0 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D   ype: image/jpeg.
>
> 0c0 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41   .Date: Wed, 24 A
>
> 0d0 : 75 67 20 32 30 30 35 20 31 34 3A 34 35 3A 35 38   ug 2005 14:45:58
>
> 0e0 : 20 47 4D 54 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E    GMT..Connection
>
> 0f0 : 3A 20 6B 65 65 70 2D 61 6C 69 76 65 0D 0A 0D 0A   : keep-alive....
>
> 100 : FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60   ......JFIF.....`
>
> 110 : 00 60 00 00 FF DB 00 43 00 04 03 03 04 03 03 04   .`.....C........
>
> 120 : 04 03 04 05 04 04 05 06 0A 07 06 06 06 06 0D 09   ................
>
> 130 : 0A 08 0A 0F 0D 10 10 0F 0D 0F 0E 11 13 18 14 11   ................
>
> 140 : 12 17 12 0E 0F 15 1C 15 17 19 19 1B 1B 1B 10 14   ................
>
> 150 : 1D 1F 1D 1A 1F 18 1A 1B 1A FF DB 00 43 01 04 05   ............C...
>
> 160 : 05 06 05 06 0C 07 07 0C 1A 11 0F 11 1A 1A 1A 1A   ................
>
> 170 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A   ................
>
> 180 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A   ................
>
> 190 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A FF C2   ................
>
> 1a0 : 00 11 08 00 55 00 82 03 D0 22 00 02 11 01 03 11   ....U...."......
>
> 1b0 : 01 FF C4 00 1C 00 00 01 05 01 01 01 00 00 00 00   ................
>
> 1c0 : 00 00 00 00 00 00 05 00 03 04 06 07 02 08 01 FF   ................
>
> 1d0 : C4 00 1A 01 00 02 03 01 01 00 00 00 00 00 00 00   ................
>
> 1e0 : 00 00 00 00 03 04 01 02 05 00 06 FF DA 00 0C 03   ................
>
> 1f0 : D0 00 02 10 03 10 00 00 01 C7 64 71 26 BE D2 54   ..........dq&..T
>
> 200 : C5 DD 43 DD 94 51 85 10 19 1A F7 4F B1 D9 74 A3   ..C..Q.....O..t.
>
> 210 : 26 62 3B D6 53 B5 5A 85 27 41 24 00 D2 88 DA E4   &b;.S.Z.'A$.....
>
> 220 : 0D 2F 1D A7 96 9E 73 F2 B6 6D 46 DB FE 5B EB D5   ./....s..mF..[..
>
> 230 : 90 06 2F 3D 14 B3 51 B1 F2 F4 17 9D B1 24 38 E4   ../=..Q......$8.
>
> 240 : E3 91 65 D1 53 39 6A 97 98 EB F1 8A 27 03 58 86   ..e.S9j.....'.X.
>
> 250 : 30 0F 21 2F AB 50 1E C3 1E F6 18 22 F6 62 7D DF   0.!/.P.....".b}.
>
> 260 : 23 5A 86 5E F4 CD 45 96 DC 02 8F 7B 2A F7 95 E9   #Z.^..E....{*...
>
> 270 : 7E 72 ED 2D 50 9D 2D DC 4D ED 32 68 03 A9 AD 6F   ~r.-P.-.M.2h...o
>
> 280 : 8D D9 5D CF 3D E2 44 E2 DC 5F D6 39 D1 CC E4 8B   ..].=.D.._.9....
>
> 290 : 5D 89 66 85 F2 DD B9 0D 16 EE 75 E6 FC 8E E8 2A   ].f.......u....*
>
> 2a0 : 48 15 6A C5 DE 88 EF 30 5A 41 F2 65 9E BB B6 8C   H.j....0ZA.e....
>
> 2b0 : 22 ED AF 41 E5 BC 50 92 72 76 BA 8B 83 40 A1 99   "..A..P.rv...@..
>
> 2c0 : 61 65 66 50 B8 B7 20 DF 85 4B FB 3B B5 AC 07 29   aefP.. ..K.;...)
>
> 2d0 : A5 DA 6A CC 52 AE 5A 43 27 42 CF AE 23 A9 74 B9   ..j.R.ZC'B..#.t.
>
> 2e0 : D0 CF F1 32 F8 B8 D2 9C 4A 27 B9 69 75 24 24 BA   ...2....J'.iu$$.
>
> 2f0 : 5B 6D 2A DD 9E D2 8B C9 26 94 C1 89 C9 10 3D 70   [m*.....&.....=p
>
> 300 : 97 46 2C 92 8B FF 00 FF C4 00 26 10 00 02 02 02   .F,.......&.....
>
> 310 : 01 04 02 02 03 01 00 00 00 00 00 00 02 03 01 04   ................
>
> 320 : 00 05 11 06 12 13 14 21 35 15 16 17 22 33 07 FF   .......!5..."3..
>
> 330 : DA 00 08 01 D0 00 01 05 02 5A C7 B2 16 18 35 D7   .........Z....5.
>
> 340 : 10 15 EB 96 4D 45 01 6A 2A 52 73 5B AA 1A F9 15   ....ME.j*Rs[....
>
> 350 : 2B E7 A9 5F 22 9D 7C 8A 55 B2 29 55 CF 4A AE 06   +.._".|.U.)U.J..
>
> 360 : BA B3 25 3D 36 B6 4A FA 6A 8E 6D 55 08 D9 AB FC   ..%=6.J.j.mU....
>
> 370 : F1 BF 0E 1C 47 07 0A A2 EE CD C9 F9 EA C6 78 C0   ....G.........x.
>
> 380 : 10 1F DA 43 4D 74 B2 BE 92 04 8E AD 90 C0 97 26   ...CMt.........&
>
> 390 : 3B BC 70 16 08 8F 75 10 3B 85 7F 9C 63 8B 97 8F   ;.p...u.;..c...
>
> 3a0 : CE 05 78 80 D3 6C E6 C5 9E 46 E0 D1 D5 82 18 75   ..x..l...F.....u
>
> 3b0 : A9 2F 23 B3 D7 08 22 C3 6C B1 14 DB DE 0E EC 53   ./#...".l......S
>
> 3c0 : 3F A3 94 CA 5C A3 6F F6 DD 3D D1 D5 99 49 5A 9A   ?...\.o..=...IZ.
>
> 3d0 : 09 89 55 64 0B B6 95 AB 86 EC BF 2D 14 FA 6A E2   ..Ud.......-..j.
>
> 3e0 : 26 A5 16 84 A3 CE 40 C9 E0 BE 60 A2 C0 48 52 6A   &.....@...`..HRj
>
> 3f0 : 7C C6 6B 02 19 99 61 CF 6A FC 87 11 B8 FB 7D 1F   |.k...a.j.....}.
>
> 400 : D2 5A EA 7D 55 42 BD D4 3B 1D 99 50 8D 93 F2 8D   .Z.}UB..;..P....
>
> 410 : 3D 8E 3F 4D 0F 5E B1 FE 85 DD 1D B9 BA 9D 8A 94   =.?M.^..........
>
> 420 : 14 63 60 CB 10 13 F0 B6 C0 44 36 41 75 AE 79 B1   .c`......D6Au.y.
>
> 430 : 5C 16 12 7F B6 E6 38 DC 6A A2 0B A7 55 AF 12 5D   \....8.j...U..]
>
> 440 : 5D 70 86 54 50 0C 77 2F 1C D1 ED DA D5 53 69 74   ]p.TP.w/.....Sit
>
> 450 : B5 FF 00 72 EF 50 55 65 CD 3A C7 89 5F 97 D7 AF   ...r.PUe.:.._...
>
> 460 : 3E 6C D7 39 86 BA 40 80 35 77 46 71 9B CF BB D4   >l.9..@.5wFq....
>
> 470 : 7D 0F C0 4F 77 72 D6 F9 00 65 A8 8C 2B DC C7 AC   }..Owr...e..+...
>
> 480 : DB E1 5B 55 4E 91 DA DB 13 A5 1A CA A9 8E F0 4C   ..[UN..........L
>
> 490 : 13 2A B4 E4 44 F2 B5 16 86 56 02 28 9F 8C DE 7D   .*..D....V.(...}
>
> 4a0 : D0 EC BD 0E 98 B5 B5 5C 10 6C 20 88 1C F6 40 AC   .......\.l ...@.
>
> 4b0 : 78 F2 02 64 6D 7C CD D8 1C 85 B2 49 40 E3 18 AE   x..dm|.....I@...
>
> 4c0 : CE D3 A1 04 34 EB 47 0B 40 F8 C6 62 62 7E 73 79   ....4.G.@..bb~sy
>
> 4d0 : F7 41 3E 4D 07 C6 09 76 E4 4E 77 65 97 71 07 76   .A>M...v.Nwe.q.v
>
> 4e0 : 47 29 79 5A 49 18 8C 5F 19 E5 09 36 AE 18 BD 7A   G)yZI.._...6...z
>
> 4f0 : 6C 25 CA 3E 63 88 C9 CD E7 DD AF 64 71 AF 17 46   l%.>c......dq..F
>
> 500 : 43 06 30 5E 19 0D E7 1D 5E CB F2 35 82 18 0C 91   C.0^....^..5....
>
> 510 : 91 7F 24 B7 C4 60 58 8C 5D A1 28 5B 4B BE B7 71   .$..`X.].([K..q
>
> 520 : 47 39 33 9B CF BA 56 E3 C6 AF CD 44 E4 6E 55 18   G93...V....D.nU.
>
> 530 : 3D 42 03 9F B3 E7 ED 19 FB 2E 4F 51 44 E7 E7 87   =B........OQD...
>
> 540 : 23 A8 22 30 7A 94 63 15 D5 EA 5E 2F AF C1 79 1F   #."0z.c...^/..y.
>
> 550 : F4 9E 33 F9 2B 3F 92 72 ED 9F 72 EF FF C4 00 29   ..3.+?.r..r....)
>
> 560 : 11 00 02 02                                       ....
>
> ....
>
> 2.)
>
> 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
>
> 010 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A   .Content-Length:
>
> 020 : 20 34 32 36 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54    4265..Content-T
>
> 030 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D   ype: image/jpeg.
>
> 040 : 0A 43 6F 6E 74 65 6E 74 2D 4C 6F 63 61 74 69 6F   .Content-Locatio
>
> 050 : 6E 3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 70 72   n: http://www.pr
>
> 060 : 65 73 73 64 65 6D 6F 63 72 61 74 2E 63 6F 6D 2F   essdemocrat.com/
>
> 070 : 66 72 6F 6E 74 5F 70 68 6F 74 6F 73 2F 73 74 61   front_photos/sta
>
> 080 : 67 65 2E 6A 70 67 0D 0A 4C 61 73 74 2D 4D 6F 64   ge.jpg..Last-Mod
>
> 090 : 69 66 69 65 64 3A 20 54 75 65 2C 20 32 33 20 41   ified: Tue, 23 A
>
> 0a0 : 75 67 20 32 30 30 35 20 31 32 3A 34 36 3A 34 38   ug 2005 12:46:48
>
> 0b0 : 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 61 6E    GMT..Accept-Ran
>
> 0c0 : 67 65 73 3A 20 62 79 74 65 73 0D 0A 45 54 61 67   ges: bytes..ETag
>
> 0d0 : 3A 20 22 65 30 62 30 62 61 62 39 65 30 61 37 63   : "e0b0bab9e0a7c
>
> 0e0 : 35 31 3A 34 66 32 22 0D 0A 53 65 72 76 65 72 3A   51:4f2"..Server:
>
> 0f0 : 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 36    Microsoft-IIS/6
>
> 100 : 2E 30 0D 0A 44 61 74 65 3A 20 57 65 64 2C 20 32   .0..Date: Wed, 2
>
> 110 : 34 20 41 75 67 20 32 30 30 35 20 31 33 3A 34 39   4 Aug 2005 13:49
>
> 120 : 3A 31 38 20 47 4D 54 0D 0A 0D 0A FF D8 FF EE 00   :18 GMT.........
>
> 130 : 0E 41 64 6F 62 65 00 64 00 00 00 00 00 FF DB 00   .Adobe.d........
>
> 140 : 43 00 08 06 06 07 06 05 08 07 07 07 09 09 08 0A   C...............
>
> 150 : 0C 14 0D 0C 0B 0B 0C 19 12 13 0F 14 1D 1A 1F 1E   ................
>
> 160 : 1D 1A 1C 1C 20 24 2E 27 20 22 2C 23 1C 1C 28 37   .... $.' ",#..(7
>
> 170 : 29 2C 30 31 34 34 34 1F 27 39 3D 38 32 3C 2E 33   ),01444.'9=82<.3
>
> 180 : 34 32 FF C0 00 11 08 00 36 00 50 03 52 11 00 47   42......6.P.R..G
>
> 190 : 11 00 42 11 00 FF C4 00 1F 00 00 01 05 01 01 01   ..B.............
>
> 1a0 : 01 01 01 00 00 00 00 00 00 00 00 01 02 03 04 05   ................
>
> 1b0 : 06 07 08 09 0A 0B FF C4 00 B5 10 00 02 01 03 03   ................
>
> 1c0 : 02 04 03 05 05 04 04 00 00 01 7D 01 02 03 00 04   ..........}.....
>
> 1d0 : 11 05 12 21 31 41 06 13 51 61 07 22 71 14 32 81   ...!1A..Qa."q.2.
>
> 1e0 : 91 A1 08 23 42 B1 C1 15 52 D1 F0 24 33 62 72 82   ...#B...R..$3br.
>
> 1f0 : 09 0A 16 17 18 19 1A 25 26 27 28 29 2A 34 35 36   .......%&'()*456
>
> 200 : 37 38 39 3A 43 44 45 46 47 48 49 4A 53 54 55 56   789:CDEFGHIJSTUV
>
> 210 : 57 58 59 5A 63 64 65 66 67 68 69 6A 73 74 75 76   WXYZcdefghijstuv
>
> 220 : 77 78 79 7A 83 84 85 86 87 88 89 8A 92 93 94 95   wxyz............
>
> 230 : 96 97 98 99 9A A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3   ................
>
> 240 : B4 B5 B6 B7 B8 B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA   ................
>
> 250 : D2 D3 D4 D5 D6 D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7   ................
>
> 260 : E8 E9 EA F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FF DA 00   ................
>
> 270 : 0C 03 52 00 47 00 42 00 00 3F 00 D2 6D 7E 48 96   ..R.G.B..?..m~H.
>
> 280 : 28 21 F0 A5 A6 D8 E2 40 5D B0 AC C7 1D 72 17 A5   (!.....@]....r..
>
> 290 : 69 36 BF 24 49 14 30 F8 52 D3 6C 71 20 2E D8 56   i6.$I.0.R.lq ..V
>
> 2a0 : 63 8E B9 0B D2 AF 9F 10 3C 4B 14 10 F8 52 D3 6C   c.......<K...R.l
>
> 2b0 : 71 20 2E D8 56 63 8E B9 0B D2 A9 5C F8 86 53 F7   q ..Vc.....\..S.
>
> 2c0 : BC 35 02 7F BB 2E 3F F6 5A A5 73 E2 19 4F DE F0   .5...?.Z.s..O..
>
> 2d0 : D4 09 FE EC B8 FF 00 D9 6A 9D CF 88 65 3F 7B C3   ........j...e?{.
>
> 2e0 : 50 27 FB B2 E3 FF 00 65 AA 6F 7F 69 2D 8C D7 37   P'.....e.oi-..7
>
> 2f0 : 3A 44 91 AC 7F 7C 20 0C 3F 3E 2A 9B DF DA 4B 65   :D..| .?>*...Ke
>
> 300 : 35 CD CE 91 24 6B 1F DF 08 03 0F CF 8A A5 25 FD   5...$k........%.
>
> 310 : A4 B6 13 5C DC E9 12 46 B1 FD F0 80 30 FC F8 A2   ...\...F....0...
>
> 320 : 1B 51 AA DC DA A4 96 8B 16 99 2C 2C C9 11 55 0D   .Q........,,..U.
>
> 330 : B9 41 C1 27 AD 2C 36 A3 55 B9 B5 49 2D 16 2D 32   .A.'.,6.U..I-.-2
>
> 340 : 58 59 92 22 AA 1B 72 83 82 4F 5A 48 2D 97 54 BA   XY."..r..OZH-.T.
>
> 350 : B6 49 6D 56 2D 32 58 58 A4 45 57 76 E5 07 04 9E   .ImV-2XX.EWv....
>
> 360 : B5 72 D7 4F B3 B7 B6 D2 50 5B C4 42 48 41 25 01   .r.O....P[.BHA%.
>
> 370 : CF 2D 57 2D 74 FB 3B 7B 6D 25 05 BC 44 24 84 12   .-W-t.;{m%..D$..
>
> 380 : 50 1C F2 D5 72 DA C2 CE 0B 7D 25 04 11 10 92 11   P...r....}%.....
>
> 390 : 92 80 E7 96 A8 A7 B7 B5 8F 5A 95 85 BC 38 D9 DD   .........Z...8..
>
> 3a0 : 06 3A FA 7E 15 14 F6 F6 B1 EB 52 B0 B7 87 1B 3B   .:.~......R....;
>
> 3b0 : A0 C7 5F 4F C2 A1 9E DE DA 3D 6A 56 10 43 8D 9D   .._O.....=jV.C..
>
> 3c0 : D0 63 AF A5 30 C3 0B 10 A9 6F 19 C9 2D F7 05 30   .c..0....o..-..0
>
> 3d0 : C3 0B 10 A9 6F 19 C9 2D F7 05 30 C3 0B 10 A9 6F   ....o..-..0....o
>
> 3e0 : 19 C9 2D F7 05 61 EB 91 E9 F6 96 B2 4B 28 8F 1C   ..-..a......K(..
>
> 3f0 : 06 F2 D3 76 06 7D BF CF 5E 6B 13 5B 8F 4F B5 B6   ...v.}..^k.[.O..
>
> 400 : 79 25 11 E3 80 DB 17 76 07 5E DF E7 AF 35 89 AD   y%.....v.^...5..
>
> 410 : C7 A7 DA DA BC 92 88 F1 C0 6D 8B BB 03 F0 FF 00   .........m......
>
> 420 : 3D 79 AA BE 19 B8 83 50 D5 63 68 B4 FC 5B 2A 9C   =y.....P.ch..[*.
>
> 430 : 48 E8 39 38 AA 9E 1A 9E 1B FD 56 26 8B 4F C5 B2   H.98......V&.O..
>
> 440 : A9 C4 8C 83 93 8A AD E1 8B 88 6F B5 58 DA 3D 3F   ..........o.X.=?
>
> 450 : 16 CA A7 12 32 0E 4E 2B 7F 55 B6 81 18 1F B3 C4   ....2.N+U......
>
> 460 : 30 3B 20 EF 9A DF D5 6D A0 42 0F D9 E2 18 1D 90   0; ....m.B......
>
> 470 : 77 CD 6F 6A B6 F0 2B A9 16 F1 01 EC 83 BE 6B B5   w.oj..+.......k.
>
> 480 : B1 8D 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B1 8D   ..'.....h:.+...
>
> 490 : 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B0 8D 27 B6   '.....h:.+...'.
>
> 4a0 : 80 ED 04 F9 68 3A 7F B2 2A 2B CB 44 0C 72 8B F9   ....h:.*+.D.r..
>
> 4b0 : 54 37 96 88 18 E5 17 F2 A6 5E 5A 20 63 94 5F CA   T7.......^Z c._.
>
> 4c0 : B1 F5 48 D5 74 6B A0 17 82 A4 FE 95 91 A9 C6 AB   ..H.tk..........
>
> 4d0 : A3 5D 00 BC 15 27 F4 AC 7D 56 35 5D 16 EC 05 E0   .]...'..}V5]....
>
> 4e0 : A9 3F A5 3A CC 06 86 C3 B7 EE DF F9 1A 75 98 0D   .?.:.........u..
>
> 4f0 : 0D 87 6F DD BF F2 34 96 60 34 36 1D BF 76 FF 00   ..o...4.`46..v..
>
> 500 : C8 D2 C6 BF E8 96 5F EC CD E9 FE D9 A5 8D 7F D1   ......_........
>
> 510 : 2C BF D9 9B D3 FD B3 4B 1A FF 00 A2 59 7F B3 37   ,......K....Y.7
>
> 520 : A7 FB 66 A8 DF BA 41 77 31 39 79 08 24 22 8E 70   ..f...Aw19y.$".p
>
> 530 : 3D EA 8D FB A4 17 73 13 97 90 82 42 28 E7 03 DE   =.....s....B(...
>
> 540 : A8 DF BA 41 77 31 39 79 08 24 22 8E 70 3D EB 3F   ...Aw19y.$".p=.?
>
> 550 : 4E BE 8F 58 B4 9A 4D B2 22 24 9B 3C BE 17 D0 F3   N..X..M."$.<....
>
> 560 : D7 D6 B3 F4                                       ....
>
>
>
>
>
> 3.)
>
> 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
>
> 010 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41   .Date: Wed, 24 A
>
> 020 : 75 67 20 32 30 30 35 20 31 33 3A 31 30 3A 31 38   ug 2005 13:10:18
>
> 030 : 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70    GMT..Server: Ap
>
> 040 : 61 63 68 65 2F 32 2E 30 2E 34 36 20 28 52 65 64   ache/2.0.46 (Red
>
> 050 : 20 48 61 74 29 0D 0A 4C 61 73 74 2D 4D 6F 64 69    Hat)..Last-Modi
>
> 060 : 66 69 65 64 3A 20 46 72 69 2C 20 31 35 20 4F 63   fied: Fri, 15 Oc
>
> 070 : 74 20 32 30 30 34 20 30 38 3A 35 36 3A 34 39 20   t 2004 08:56:49 
>
> 080 : 47 4D 54 0D 0A 45 54 61 67 3A 20 22 37 32 38 30   GMT..ETag: "7280
>
> 090 : 66 64 2D 61 64 34 2D 39 62 37 39 31 36 34 30 22   fd-ad4-9b791640"
>
> 0a0 : 0D 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A   ..Accept-Ranges:
>
> 0b0 : 20 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D    bytes..Content-
>
> 0c0 : 4C 65 6E 67 74 68 3A 20 32 37 37 32 0D 0A 43 6F   Length: 2772..Co
>
> 0d0 : 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D   nnection: close.
>
> 0e0 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 69   .Content-Type: i
>
> 0f0 : 6D 61 67 65 2F 6A 70 65 67 0D 0A 0D 0A FF D8 FF   mage/jpeg.......
>
> 100 : E0 00 10 4A 46 49 46 00 01 01 01 00 48 00 48 00   ...JFIF.....H.H.
>
> 110 : 00 FF E1 05 11 45 78 69 66 00 00 4D 4D 00 2A 00   .....Exif..MM.*.
>
> 120 : 00 00 08 00 05 01 1A 00 05 00 00 00 01 00 00 00   ................
>
> 130 : 4A 01 1B 00 05 00 00 00 01 00 00 00 52 01 28 00   J...........R.(.
>
> 140 : 03 00 00 00 01 00 02 FF FF 02 13 00 03 00 00 00   ................
>
> 150 : 01 00 01 FF FF 87 69 00 04 00 00 00 01 00 00 00   ......i.........
>
> 160 : B8 00 00 00 5A 00 00 00 48 00 00 00 01 00 00 00   ....Z...H.......
>
> 170 : 48 00 00 00 01 00 06 01 03 00 03 00 00 00 01 00   H...............
>
> 180 : 06 FF FF 01 1A 00 05 00 00 00 01 00 00 00 A8 01   ................
>
> 190 : 1B 00 05 00 00 00 01 00 00 00 B0 01 28 00 03 00   ............(...
>
> 1a0 : 00 00 01 00 02 FF FF 02 01 00 04 00 00 00 01 00   ................
>
> 1b0 : 00 01 06 02 02 00 04 00 00 00 01 00 00 04 03 00   ................
>
> 1c0 : 00 00 00 00 00 00 48 00 00 00 01 00 00 00 48 00   ......H.......H.
>
> 1d0 : 00 00 01 00 06 90 00 00 07 00 00 00 04 30 32 31   .............021
>
> 1e0 : 30 91 01 00 07 00 00 00 04 01 02 03 00 A0 00 00   0...............
>
> 1f0 : 07 00 00 00 04 00 00 00 00 A0 01 00 03 00 00 00   ................
>
> 200 : 01 00 01 FF FF A0 02 00 04 00 00 00 01 00 00 00   ................
>
> 210 : A0 A0 03 00 04 00 00 00 01 00 00 00 78 00 00 00   ............x...
>
> 220 : 00 FF D8 FF DB 00 43 00 08 08 08 08 08 08 08 08   ......C.........
>
> 230 : 08 08 08 08 08 08 08 09 09 09 09 09 09 0A 0A 0A   ................
>
> 240 : 0B 0A 0A 0A 0C 0B 0B 0C 0C 0B 0B 0C 0D 0C 0E 0F   ................
>
> 250 : 0E 0C 0D 0E 0F 12 12 0F 0E 12 15 17 15 12 19 1C   ................
>
> 260 : 1C 19 24 24 24 33 33 3F FF DB 00 43 01 07 07 07   ..$$$33?...C....
>
> 270 : 0A 08 0A 13 0A 0A 13 2A 1C 17 1C 2A 2A 2A 2A 2A   .......*...*****
>
> 280 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A   ****************
>
> 290 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A   ****************
>
> 2a0 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A FF C0 00   *************...
>
> 2b0 : 11 08 00 29 00 32 03 00 22 00 01 11 01 02 11 01   ...).2..".......
>
> 2c0 : FF C4 00 1F 00 00 01 05 01 01 01 01 01 01 00 00   ................
>
> 2d0 : 00 00 00 00 00 00 01 02 03 04 05 06 07 08 09 0A   ................
>
> 2e0 : 0B FF C4 00 B5 10 00 02 01 03 03 02 04 03 05 05   ................
>
> 2f0 : 04 04 00 00 01 7D 01 02 03 00 04 11 05 12 21 31   .....}........!1
>
> 300 : 41 06 13 51 61 07 22 71 14 32 81 91 A1 08 23 42   A..Qa."q.2....#B
>
> 310 : B1 C1 15 52 D1 F0 24 33 62 72 82 09 0A 16 17 18   ...R..$3br......
>
> 320 : 19 1A 25 26 27 28 29 2A 34 35 36 37 38 39 3A 43   ..%&'()*456789:C
>
> 330 : 44 45 46 47 48 49 4A 53 54 55 56 57 58 59 5A 63   DEFGHIJSTUVWXYZc
>
> 340 : 64 65 66 67 68 69 6A 73 74 75 76 77 78 79 7A 83   defghijstuvwxyz.
>
> 350 : 84 85 86 87 88 89 8A 92 93 94 95 96 97 98 99 9A   ................
>
> 360 : A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3 B4 B5 B6 B7 B8   ................
>
> 370 : B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA D2 D3 D4 D5 D6   ................
>
> 380 : D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7 E8 E9 EA F1 F2   ................
>
> 390 : F3 F4 F5 F6 F7 F8 F9 FA FF DA 00 0C 03 00 00 01   ................
>
> 3a0 : 00 02 00 00 3F 00 E7 BF B3 61 FE F3 FE 9F E1 55   ....?....a.....U
>
> 3b0 : EE 2D 12 DE 32 FB FA 74 18 1C D6 C6 6B 1F 52 26   .-..2..t....k.R&
>
> 3c0 : 47 86 05 EA CE B8 FF 00 79 8E 05 6C DC DA 41 1C   G.......y..l..A.
>
> 3d0 : 65 B1 54 A2 9E 56 6C 66 B6 3C 3D A6 7D AD BC F9   e.T..Vlf.<=.}...
>
> 3e0 : 86 EE 7E 51 E9 DE BD 48 68 51 7D 9F 98 A2 C3 20   ..~Q...HhQ}.... 
>
> 3f0 : 18 20 67 9F EB 5C AE 8B FE 87 1A 05 48 64 0B 8C   . g..\......Hd..
>
> 400 : AF 9A A9 2B 60 E3 E5 0F B5 3D F9 71 5E 89 69 7F   ...+`....=.q^.i
>
> 410 : 6B 7B 02 B4 12 F1 D1 94 F0 E8 40 E5 18 76 61 DE   k{........@..va.
>
> 420 : B9 D2 BB DB 26 B5 C3 79 6B C5 79 37 89 74 51 66   ....&..yk.y7.tQf
>
> 430 : 56 78 93 E5 E3 78 51 F5 F4 FC AB 8B 12 C9 1B 13   Vx...xQ.........
>
> 440 : 14 8C 8D CA EE 56 20 E3 F0 AF 65 F1 04 F6 6D 14   .....V ...e...m.
>
> 450 : B1 BC F0 FC D9 18 2E 33 E9 9C 57 8C CD F2 4A CB   .......3..W...J.
>
> 460 : 90 70 DD 7F 3A 92 23 9E 0D 47 38 19 DD 5A 9E 76   .p.:.#..G8..Z.v
>
> 470 : AD FF 00 3F 5F F8 F7 FF 00 5A 8F 3B 56 FF 00 9F   ...?_....Z.;V...
>
> 480 : AF D7 FF 00 AD 50 2D D2 85 51 CF 00 0A 77 DA D3   .....P-..Q...w..
>
> 490 : DF F2 AB 9E 55 BF AD 53 DD 27 A0 A7 7D A8 9F E1   ....U..S.'..}...
>
> 4a0 : FD 6A 38 F1 2E A1 67 BB BD CC 42 95 00 DB 55 91   .j8...g...B...U.
>
> 4b0 : BF D3 60 F4 FB 5C 07 FE F9 94 54 F7 4E CC 98 34   ..`..\....T.N..4
>
> 4c0 : D8 40 0D 5E 94 9E 1A 37 BF E9 11 31 C9 04 60 B1   .@.^...7...1..`.
>
> 4d0 : C2 EE 56 5C 8E 0E 38 3D AB 4E 38 FF 00 B2 6C 6E   ..V\..8=.N8...ln
>
> 4e0 : 63 FB CE A9 E5 A9 04 FD FC ED EF CF 41 FC 54 B6   c...........A.T.
>
> 4f0 : 77 93 08 C4 08 DE 50 2A 37 BF FB 3E 83 DC D4 5A   w.....P*7..>...Z
>
> 500 : 8B CA B6 6D 1F D9 BC E5 77 DD E6 89 0A 91 CF 46   ...m....w......F
>
> 510 : CE 7F 3E 6B 13 71 23 15 B4 91 8C EE AC 27 B1 D4   .>k.q#......'..
>
> 520 : B0 B7 96 86 3F 35 D3 25 D9 37 B0 6F E2 C3 67 E5   ....?5.%.7.o..g.
>
> 530 : E3 8C 7E B5 C2 EA A2 E0 5D 16 BA 0A B3 1D A5 F1   ..~.....].......
>
> 540 : ED FF 00 EA AF 5B 87 52 4F EC E5 8A 45 09 22 02   .....[.RO...E.".
>
> 550 : 33 FE CF 6F D2 BC 97 59 9B CF BE 93 D0 64 0F D7   3..o...Y.....d..
>
> 560 : FC 6A 48 CF 35 04 AA 02 D5 1D F4 6F A8 F8 FF 00   .jH.5......o....
>
> 570 : 22 8E 3F C8 AB 55 52 B5 59 FB AF 15 95 2E E2 5B   ".?..UR.Y......[
>
> 580 : 1C 36 EE 2A F8 AA 6F FE B4 FF 00 BD 52 CE E7 3B   .6.*..o.....R..;
>
> 590 : 69 91 2F 19 AF 41 D3 A5 1A DE 9C 13 76 25 5F BD   i./..A......v%_.
>
> 5a0 : C7 DD 95 57 A1 53 D4 7B 52 4B 6B A8 46 3C 98 D2   ...W.S.{RKk.F<..
>
> 5b0 : EE 21 FE CD                                       .!..



-------------------------------------------------------
SF.Net email is Sponsored by the Better Software Conference & EXPO
September 19-22, 2005 * San Francisco, CA * Development Lifecycle Practices
Agile & Plan-Driven Development * Managing Projects & Teams * Testing & QA
Security * Process Improvement & Measurement * http://www.sqe.com/bsce5sf
_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list