IDS: ET SCAN Potential SSH Scan OUTBOUND

snort signatures

Разбор сигнатуры IDS: ET SCAN Potential SSH Scan OUTBOUND

Table of Contents

Сигнатура

alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential SSH Scan OUTBOUND"; flow:to_server; flags:S,12; threshold: type threshold, track by_src, count 5, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; reference:url,doc.emergingthreats.net/2003068; classtype:attempted-recon; sid:2003068; rev:7; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

Сигнатура определяет подключение из домашней (локальной сети) во внешнюю сеть (Интернет), по 22 порту TCP (SSH).

Сигнатура определяет наличие SYN пакетов, в которых установлено два зарезервированных бита, из внешней сети в домашнюю сеть.

Фиксирует 5 и более обращений за 120 секунд, по IP адресу источника из домашней сети.

Может быть признаком сканирования, попытке подбора паролей, либо признаком ошибки соединения.

 

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий