IDS: ET SCAN Behavioral Unusually fast Terminal Server Traffic Potential Scan or Infection (Inbound)

snort signatures

Разбор сигнатуры IDS: ET SCAN Behavioral Unusually fast Terminal Server Traffic Potential Scan or Infection (Inbound)

Table of Contents

Срабатывание данной сигнатуры может быть признаком доступности сервера терминалов (RDP) во внешнюю сеть.

Сигнатура

alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"ET SCAN Behavioral Unusually fast Terminal Server Traffic Potential Scan or Infection (Inbound)"; flow:to_server; flags: S,12; threshold: type both, track by_src, count 20, seconds 360; reference:url,doc.emergingthreats.net/2001972; classtype:network-scan; sid:2001972; rev:20; metadata:created_at 2010_07_30, former_category SCAN, updated_at 2017_05_11;)

Если отправлен пакет с флагом SYN, это означает, что клиент запрашивает у сервера соединение. Сервер в свою очередь должен ответить клиенту пакетом с флагом "SYN-ACK".

Сигнатура определяет наличие SYN пакетов, в которых установлено два зарезервированных бита, из внешней сети в домашнюю сеть.

Коррелирует по источнику, выявляя 20 и более пакетов за 360 секунд.

Применяться для выявления сканирования из внешней сети серверов терминала (RDP) в домашнюю сети.

Может быть признаком сканирования из внешней (сети Интернет) сети.

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий