Che cosa significa questa regola snort?

0

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-BACKDOOR access remote pc runtime detection - init connection"; flow:to_server,established; content:"|99 F3 00 00 00 00 00 00 FF FF FF FF|"; depth:12; flowbits:set,AccessRemotePC_detection; flowbits:noalert; classtype:trojan-activity; sid:12142; rev:3;)

    
posta user90806 01.11.2015 - 15:40
fonte

1 risposta

2

Sarà " alert " su qualsiasi connessione TCP da una rete esterna a una rete interna (DMZ) a condizione che il contenuto del pacchetto corrisponda a 99 F3 00 00 00 00 00 00 FF FF FF FF '(che corrisponde a BackoffPOS 1.56 modulo di iniezione di processo).

Mentre c'è più alla regola; profondità, impostando i flussi su una classe predefinita (AccessRemotePC_detection; utilizzata per semplificare i rapporti) e "classtype", in termini più semplici è la suddivisione delle regole.

    
risposta data 01.11.2015 - 19:40
fonte

Leggi altre domande sui tag