Разбор сигнатуры IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
Сигнатура может создавать ложные срабатывания в своей работе, по этому при проверке необходимо полагаться и на другую активность.
Сигнатура
alert tcp $HOME_NET any -> any 445 (msg:"ET SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection"; flow:to_server; flags: S,12; threshold: type both, track by_src, count 70 , seconds 60; reference:url,doc.emergingthreats.net/2001569; classtype:misc-activity; sid:2001569; rev:15; metadata:created_at 2010_07_30, former_category SCAN, updated_at 2017_05_11;)
Сигнатура определяет наличие SYN пакетов, в которых установлено два зарезервированных бита, из домашней сети в любую сеть.
Если отправлен пакет с флагом SYN, это означает, что клиент запрашивает у сервера соединение. Сервер в свою очередь должен ответить клиенту пакетом с флагом "SYN-ACK".
Коррелирует по источнику, выявляя 70 и более пакетов за 60 секунд.
Применяться для выявления сканирования внутри локальной сети, либо из локальной сети.
Может быть признаком заражения или сканирования внутри локальной сети, но так же и признаком вполне легитимной активности