标签: rules arp snort network-scan
嗨,我是Snort的新手,我模拟了arp扫描攻击。我试图在Snort中检测到这种攻击。没有预处理器检测到这种攻击,所以我想为它编写规则。但我发现snort规则不支持arp协议。
此扫描正在从子网192.168.92.0/24发送所有可能地址的arp请求,并等待回答,这意味着主机已启动。是否可以使用snort规则检测这些攻击?
以下是来自wireshark的扫描示例。
Arp Scan in wireshark
