我需要编写捕捉SYN扫描的规则。
我尝试这样做: alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
然后尝试扫描: nmap -sS myIP但这不输出“SYN”
如何写一个正确的规则? 谢谢。
Answer 1:
尝试改变flags:S,12到flags:S作为Snort的手动状态:
保留比特“1”和“2”已经被替换为“C”和“E”,分别以匹配RFC 3168,“显式拥塞通知(ECN)到IP的添加”。 “1”和“2”的旧值仍然有效为标志的关键字,但现在已废弃。
所以12将检查两个预留位设置这可能不是你想要的。 另外据我所知文档flags:S将匹配只有SYN集这应该是你的情况我想正确的数据包。 如果你想不管其他标志的搭配一些标志可以使用* 。
文章来源: Rule for capturing SYN-scanning
