Sono nuovo di SNORT e non riesco a capire cosa significhi la seguente regola:
alert tcp $EXTERNAL_NET any-> $HOME_NET any (msg:"SCAN FIN"; flags: F;
reference:arachnids,27;
A me sembra che avvisi se riceve traffico dalla rete esterna definita ($ EXTERNAL_NET) alla rete domestica definita ($ HOME_NET) in cui il flag TCP è impostato su proprio.
Questo potrebbe essere preso per indicare un pezzo di software di scansione, come in una comunicazione TCP standard FIN non viene inviato da solo, si accompagna con un floppy ACK (ci sono più informazioni here )
Leggi altre domande sui tag snort