IDS: ET SCAN Potential SSH Scan OUTBOUND

snort signatures
Опубликовано

Разбор сигнатуры IDS: ET SCAN Potential SSH Scan OUTBOUND

Содержание

Сигнатура

alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential SSH Scan OUTBOUND"; flow:to_server; flags:S,12; threshold: type threshold, track by_src, count 5, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; reference:url,doc.emergingthreats.net/2003068; classtype:attempted-recon; sid:2003068; rev:7; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

Сигнатура определяет подключение из домашней (локальной сети) во внешнюю сеть (Интернет), по 22 порту TCP (SSH).

Сигнатура определяет наличие SYN пакетов, в которых установлено два зарезервированных бита, из внешней сети в домашнюю сеть.

Фиксирует 5 и более обращений за 120 секунд, по IP адресу источника из домашней сети.

Может быть признаком сканирования, попытке подбора паролей, либо признаком ошибки соединения.

 

Похожие записи:
  1. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  2. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  3. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  4. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
IDS
Добавить комментарий