Efter att ha granskat varningsloggen inser Jack
detaljer av buffertöverflödesattacken. Varningsloggen skulle innehålla information som:
* Källa IP -adress: IP -adressen för systemet som försöker attacken.
* Destination IP -adress och port: IP -adressen och porten på webbservern som attackerades.
* timestamp: När attacken inträffade.
* attackvektor: Den specifika metoden som används (t.ex. överfyllda ett visst inmatningsfält i en webbform).
* nyttolast: Uppgifterna som orsakade buffertöverflödet (även om detta kan vara delvis eller helt dämpat).
* Systemloggar: Poster från webbserverns loggar som visar fel, kraschar eller ovanlig aktivitet runt attacken.
* Påverkad tjänst: Den specifika webbtjänsten (t.ex. ett visst CGI -skript, PHP -fil eller annan applikation) som var riktad.
Loggen kanske inte uttryckligen säger "buffertöversvämning", men kombinationen av dessa element skulle starkt föreslå det. Till exempel skulle segmenteringsfel, oväntad programmets avslutning eller ovanliga minnesåtkomstmönster i systemloggarna alla peka på en buffertöversvämning.
