SYNスキャンをキャプチャするルールを作成する必要があります。
私はこれを試しました:alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
次にスキャンしてみてください:nmap -sS myIPしかしこれは「SYN」を出力しません
正しいルールを書く方法は?ありがとう。
質問する
6968 次
1 に答える
1
Snortのマニュアルに記載されているようにに変更flags:S,12してみてください。flags:S
予約ビット「1」と「2」は、RFC 3168「IPへの明示的輻輳通知(ECN)の追加」に一致するように、それぞれ「C」と「E」に置き換えられました。'1'と'2'の古い値は、flagキーワードに対して引き続き有効ですが、現在は非推奨になっています。
したがって12、2つの予約済みビットが設定されているかどうかを確認しますが、これはおそらく希望どおりではありません。また、私が理解しているように、ドキュメントflags:Sは、SYNセットのみのパケットと一致します。これは、あなたの場合は正しいはずです。他のフラグに関係なくいくつかのフラグを一致させたい場合は、を使用できます*。
于 2012-10-16T16:14:43.327 に答える