El sistema de detección de intrusos de red lo ha alertado sobre un ataque de desbordamiento de búfer contra su servidor web después de una revisión adicional de la Jack de alertas que se da cuenta de que es DET.

Después de revisar el registro de alerta, Jack se da cuenta de los detalles del ataque de desbordamiento del búfer. El registro de alerta contendría información como:

* Dirección IP de origen: La dirección IP del sistema intenta el ataque.

* Dirección IP de destino y puerto: La dirección IP y el puerto del servidor web que fue atacado.

* marca de tiempo: Cuando ocurrió el ataque.

* Vector de ataque: El método específico utilizado (por ejemplo, desbloquear un campo de entrada particular en forma web).

* carga útil: Los datos que causaron el desbordamiento del búfer (aunque esto podría ser parcial o completamente ofuscado).

* Registros del sistema: Entradas de los registros del servidor web que muestran errores, bloqueos o actividad inusual en el momento del ataque.

* Servicio afectado: El servicio web específico (por ejemplo, un script CGI particular, archivo PHP u otra aplicación) que fue dirigido.

El registro podría no decir explícitamente "desbordamiento del búfer", pero la combinación de estos elementos lo sugeriría. Por ejemplo, las fallas de segmentación, la terminación inesperada del programa o los patrones inusuales de acceso a la memoria en los registros del sistema apuntarían a un desbordamiento de búfer.