Разбор сигнатуры IDS: AM POLICY RDP session ended with RST
Сигнатура
| 1 | alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:\"AM POLICY RDP session ended with RST\"; flow:from_client,established; flags:RA; classtype:network-scan; sid:3006261; rev:3; metadata:attack_target Client_Endpoint;) |
Сигнатура фиксирует обращение из внешней сети, в домашнюю сеть по порту 3389, с флагом RA (RST, ACK).
Фактически - соединение не устанавливается, а лишь проверяется доступность порта.
Может быть признаком сканирования и доступности RPD сервера во внешнюю сеть (Интернет)
