1
我需要編寫一個捕獲SYN掃描的規則。
我嘗試這樣做:alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
然後嘗試掃描:nmap -sS myIP但這不輸出「SYN」
如何寫一個正確的規則?謝謝。捕獲SYN掃描的規則
A
回答
1
嘗試改變flags:S,12到flags:S作爲Snort manual狀態:
保留位 '1' 和 '2' 已經被替換爲 'C' 和 'E',分別以匹配RFC 3168, 「增加顯式擁塞通知(ECN)給IP」。 「1」和「2」的舊值對於flag關鍵字仍然有效,但現在已被棄用。
所以12將檢查是否設置了兩個保留位,這可能不是你想要的。還據我的理解,文檔flags:S將匹配只有SYN集的數據包,這應該是正確的在我的情況下你的情況。如果你想匹配一些標誌而不管其他旗子,你可以使用*。
相關問題
- 1. TCP syn掃描
- 2. 掃描YARA規則的整個網絡
- 3. 捕獲的照片掃描的Android
- 4. 從掃描儀捕獲圖像
- 5. 如何使用方法(TCP SYN)創建端口掃描程序TCP SYN?
- 6. 嘗試捕捉掃描儀
- 7. 條碼掃描儀的Android犯規掃描
- 8. 如何使用golang進行tcp syn端口掃描?
- 9. 知識產權表捕捉聖誕掃描/空掃描
- 10. 重寫規則沒有捕獲
- 11. Urlrewrite規則不會捕獲問號
- 12. 規則拉姆達捕獲變量
- 13. 太多捕獲組htaccess重寫規則
- 14. Xamarin.forms中帶圖像捕獲的條碼掃描器
- 15. 如何用java中的掃描器類捕獲空白輸入
- 16. 帶符號數字圖像掃描儀的OPOS圖像捕獲
- 17. 一次掃描(掃描)和兩次掃描(掃描)之間的區別
- 18. 掃描,掃描儀類
- 19. 用掃描儀捕捉空間?
- 20. 掃描儀犯規拿我給
- 21. 是否比特定端口的隨機SYN/ACK掃描的速度更快?
- 22. 的Java否則,如果和掃描儀
- 23. 如何描述PasswordValidator規則
- 24. nmap - 重複掃描一個端口的syn/ack應答並輸出到文件
- 25. 偵聽應用程序(winsock2)對端口掃描的行爲(Syn Scan)
- 26. 三維激光掃描儀捕獲法線?
- 27. 使用掃描器在Java中嘗試/捕獲並保存ArrayList
- 28. Java掃描器嘗試捕獲多種數據類型
- 29. 捕獲組越南和項目進行串#掃描
- 30. 如何從qr掃描儀使用zxing捕獲數據
你很傻... – Wug
爲什麼?只是寫我做錯了 –
其中之一,這不是一個編程問題,可能屬於超級用戶。另一方面,這個用例到底是什麼?響應SYN氾濫?映射每個發送給你一個SYN的地址都不會做任何事情,但是在這種情況下你會更多地使用你的連接,而你的ISP可能會看到你的端口掃描了數百個IP並導致你離線。這意味着源地址無論如何都不是欺騙性的,它經常是這樣。另外,如果您位於路由器後面,則根本不會看到SYN泛洪流量,並且您獲得的唯一SYN將來自合法來源。 – Wug