tcp만 사용하는 port에 udp로 접속시도 탐지

tcp만 사용하는 port에 udp로 접속시도

 

alert udp any any -> any 22 (msg:"udp scan"; threshhold:type both, track by_dst, count 20, seconds 1; sid:0003;)

 

 

vi snort-2.9.17/local.rules

 

위에는 synflooding 공격탐지이고

 

밑에는 포트스캔의 공격탐지이다.

 

 

 

 

이건 정규표현식으로 한번찾아보면좋을듯합니다

 

alert udp any any -> $SERVER $PORT GROUP(msg:"udp scan"; threshhold:type both, track by_dst, count 20, seconds 1; sid:0003;)

$PORT_GROUP={21,22,23,24}

$SERVER = {192.2.2.1,1.1.1.2}

이런식으로 

이런것도 있으니 밑에꺼는 한번 찾아보면좋겟다

위에서 밑에 그룹을 이용해서 대입하는 그런느낌이라고생각하면된다