Nach der Überprüfung des Alarmprotokolls erkennt Jack die
Details des Pufferüberlaufangriffs. Das Alarmprotokoll enthält Informationen wie:
* Quell -IP -Adresse: Die IP -Adresse des Systems, das den Angriff versucht.
* Ziel -IP -Adresse und Port: Die IP -Adresse und der Port des Webservers, der angegriffen wurde.
* Zeitstempel: Wenn der Angriff auftrat.
* Angriffsvektor: Die verwendete spezifische Methode (z. B. überfließt ein bestimmtes Eingabefeld in einem Webform).
* Nutzlast: Die Daten, die den Pufferüberlauf verursachten (obwohl dies teilweise oder vollständig verschleiert werden kann).
* Systemprotokolle: Einträge aus den Protokollen des Webservers zeigen Fehler, Abstürze oder ungewöhnliche Aktivitäten zum Zeitpunkt des Angriffs.
* Betroffener Service: Der spezifische Webdienst (z. B. ein bestimmtes CGI -Skript, eine PHP -Datei oder eine andere Anwendung), auf die gezielt wurde.
Das Protokoll sagt möglicherweise nicht explizit "Pufferüberlauf", aber die Kombination dieser Elemente würde es nachdrücklich darauf hinweisen. Beispielsweise würden Segmentierungsfehler, unerwartete Programmabschlüsse oder ungewöhnliche Speicherzugriffsmuster in den Systemprotokollen auf einen Pufferüberlauf hinweisen.
