IDS: AM POLICY RDP session ended with RST

Опубликовано

Разбор сигнатуры IDS: AM POLICY RDP session ended with RST

Содержание

snort

Сигнатура

alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:\"AM POLICY RDP session ended with RST\"; flow:from_client,established; flags:RA; classtype:network-scan; sid:3006261; rev:3; metadata:attack_target Client_Endpoint;)

Сигнатура фиксирует обращение из внешней сети, в домашнюю сеть по порту 3389, с флагом RA  (RST, ACK).

Фактически - соединение не устанавливается, а лишь проверяется доступность порта.

Может быть признаком сканирования и доступности RPD сервера во внешнюю сеть (Интернет)

Похожие записи:
  1. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  2. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  3. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  4. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
IDS
Добавить комментарий