我需要编写一个捕获 SYN 扫描的规则。
我试过这个:alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
然后尝试扫描:nmap -sS myIP但这不输出“SYN”
如何写一个正确的规则?谢谢。
问问题
6968 次
1 回答
1
尝试更改flags:S,12为Snort 手册flags:S所述:
保留位“1”和“2”已分别替换为“C”和“E”,以匹配 RFC 3168,“将显式拥塞通知 (ECN) 添加到 IP”。'1' 和 '2' 的旧值对于 flag 关键字仍然有效,但现在已弃用。
因此12将检查是否设置了两个保留位,这可能不是您想要的。此外,据我了解,文档flags:S将匹配仅包含 SYN 集的数据包,我猜这在您的情况下应该是正确的。如果你想匹配一些标志而不考虑其他标志,你可以使用*.
于 2012-10-16T16:14:43.327 回答