Domanda sulla regola SNORT

1

Sono nuovo di SNORT e non riesco a capire cosa significhi la seguente regola:

alert tcp $EXTERNAL_NET any-> $HOME_NET any (msg:"SCAN FIN"; flags: F;
reference:arachnids,27;
    
posta tmmusil 07.04.2015 - 14:28
fonte

1 risposta

1

A me sembra che avvisi se riceve traffico dalla rete esterna definita ($ EXTERNAL_NET) alla rete domestica definita ($ HOME_NET) in cui il flag TCP è impostato su proprio.

Questo potrebbe essere preso per indicare un pezzo di software di scansione, come in una comunicazione TCP standard FIN non viene inviato da solo, si accompagna con un floppy ACK (ci sono più informazioni here )

    
risposta data 07.04.2015 - 14:39
fonte

Leggi altre domande sui tag