Разбор сигнатуры IDS: ET SCAN Potential SSH Scan OUTBOUND
Сигнатура
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential SSH Scan OUTBOUND"; flow:to_server; flags:S,12; threshold: type threshold, track by_src, count 5, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; reference:url,doc.emergingthreats.net/2003068; classtype:attempted-recon; sid:2003068; rev:7; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
Сигнатура определяет подключение из домашней (локальной сети) во внешнюю сеть (Интернет), по 22 порту TCP (SSH).
Сигнатура определяет наличие SYN пакетов, в которых установлено два зарезервированных бита, из внешней сети в домашнюю сеть.
Фиксирует 5 и более обращений за 120 секунд, по IP адресу источника из домашней сети.
Может быть признаком сканирования, попытке подбора паролей, либо признаком ошибки соединения.