我需要编写捕获SYN扫描的规则
我试过这个:alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
然后尝试扫描:nmap -sS myIP
但这不输出“SYN”
如何写出正确的规则?感谢。
答案 0 :(得分:1)
尝试将flags:S,12
更改为Snort manual状态为flags:S
:
保留位“1”和“2”分别用“C”和“E”替换,以匹配RFC 3168,“向IP添加显式拥塞通知(ECN)”。 “1”和“2”的旧值对于flag关键字仍然有效,但现在已弃用。
因此12
将检查是否设置了两个保留位,这可能不是您想要的。另外据我所知,文档flags:S
将匹配只有SYN集的数据包,在我的情况下应该是正确的。如果您想匹配某些标志而不管其他标志,您可以使用*
。