Mi piacerebbe rilevare la scansione della porta udp in Suricata.
Ho cercato su google, ma non sono riuscito a trovare la regola Suricata per rilevare i tentativi di scansione delle porte UDP.
Ho visto prima una regola di snort per questa scansione.
Come possiamo rilevare questo tipo di scansione in Suricata?
Sono disponibili numerosi esempi di scansioni UDP all'interno delle firme della community di ET per Suricata .
Una cosa da tenere a mente è la natura stessa di una scansione UDP. Qualcuno sta cercando di ottenere una risposta attraverso un socket su quelle porte via UDP. Si consiglia inoltre di prendere in considerazione la creazione di regole di flusso relative al protocollo UDP per dire che # di connessioni con un payload di scanner comune (o sospetto comune) viene visto come fonte da un host in conflitto a più host in qualcosa come $ HOME_NET e le parole di bit di flusso potrebbero essere incluso da_client, senza stato