こんにちは、私は Snort を初めて使用し、arp スキャン攻撃をシミュレートしました。Snort でこの攻撃を検出しようとしています。この攻撃を検出したプリプロセッサはなかったので、そのためのルールを書きたいと思いました。しかし、snort ルールが arp プロトコルをサポートしていないことがわかりました。
このスキャンは、サブネット 192.168.92.0/24 から可能なすべてのアドレスで arp 要求を送信し、ホストが稼働していることを意味する応答を待ちます。Snort ルールを使用してこれらの攻撃を検出することは可能ですか?
これは、wireshark からのスキャンの例です。
