Мне нужно написать правило, которое фиксирует SYN-сканирование.
Я пробовал это: alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
затем пытаюсь сканировать: nmap -sS myIP но это не выводит "SYN"
Как написать правильное правило? Спасибо.
Правило захвата SYN-сканирования
comment
Почему? Просто напишите, что я делаю не так
- person Vladimir G. schedule 16.10.2012
comment
Во-первых, это не вопрос программирования и, вероятно, относится к суперпользователю. С другой стороны, каков именно вариант использования для этого? реагировать на SYN-флуд? nmapping каждого адреса, который отправляет вам SYN, ничего не сделает, кроме как испечет ваше соединение в этом случае, и ваш интернет-провайдер, вероятно, увидит, что вы сканируете порты сотен IP-адресов, и отключит вас от сети. Это означает, что исходный адрес в любом случае не подделан, как это часто бывает. Кроме того, если вы находитесь за маршрутизатором, вы вообще не увидите SYN-флуд-трафик, а SYN-трафик, который вы получите, будет только из законных источников.
- person Wug schedule 16.10.2012
comment
Nmap и snort работают на локальном компьютере. Я просто хочу печатать SYN для каждого пакета с флагом S.
- person Vladimir G. schedule 16.10.2012
Ответы (1)
Попробуйте изменить flags:S,12 на flags:S, как указано в руководстве по Snort:
Зарезервированные биты «1» и «2» были заменены на «C» и «E» соответственно, чтобы соответствовать RFC 3168 «Добавление явного уведомления о перегрузке (ECN) к IP». Старые значения «1» и «2» по-прежнему действительны для ключевого слова флага, но теперь они устарели.
Таким образом, 12 проверит, установлены ли два зарезервированных бита, что, вероятно, не то, что вам нужно. Кроме того, как я понимаю, документация flags:S будет сопоставлять пакеты только с набором SYN, что, я думаю, должно быть правильным в вашем случае. Если вы хотите сопоставить некоторые флаги независимо от других флагов, вы можете использовать *.
person
Mattias Wadman
schedule
16.10.2012
