A meno che tu non abbia aggiunto una nuova classe di attacco personalizzata nel tuo file classification.config con il nome attempted0recon , non c'è 's qualsiasi classe di questo tipo in Snort di default . Esiste tuttavia una classe denominata attempted-recon .
Non hai inoltre impostato alcun filtro aggiuntivo per il quale il messaggio "Rilevazione ritrasmissione SSH" dovrebbe essere segnalato, quindi il tuo esempio dovrebbe essere:
Alert with class attempted0recon and message 'SSH retransmission
detected' any inbound TCP connection to <destinationAddress> port
22 originating from any remote address and port.
Non l'ho scritto nell'ordine esatto, in quanto ciò sarebbe completamente illeggibile, ma il modulo generale delle regole Snort è:
action proto src_ip src_port direction dst_ip dst_port (options)
La tua regola potrebbe quindi leggere in questo modo:
alert tcp any any -> <destinationAddress> 22 (msg:"SSH retransmission detected";
content:"TCP Retransmission";
nocase;
classtype:attempted-recon;)
per la tua regola nell'esempio che hai fornito. Poiché la regola dell'altro (primo pacchetto) non può dipendere da nessun contenuto del payload (come non vedo nella tua stampa), potresti ad esempio utilizzare parola chiave dsize nella parte delle opzioni per identificarli in base alla loro dimensione e / o altro non- rilevamenti del carico utile :
alert tcp any any -> <destinationAddress> 22 (msg:"SSH key exchange";
dsize: <518;
classtype:tcp-connection;)
Ovviamente, è possibile adottarli in base alle proprie esigenze e sono solo esempi.
