我需要编写一个捕获 SYN 扫描的规则。
我试过这个:alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
然后尝试扫描:nmap -sS myIP但这不会输出"SYN"
如何编写正确的规则?谢谢。
尝试将
flags:S,12更改为flags:S,如Snort手册所述:
保留位"1"和"2"已分别替换为"C"和"E",以匹配 RFC 3168"向 IP 添加显式拥塞通知 (ECN)"。旧值"1"和"2"对于标志关键字仍然有效,但现在已弃用。
因此,12将检查是否设置了两个保留位,这可能不是您想要的。另外,据我了解,文档flags:S将仅匹配具有 SYN 集的数据包,我想这在您的情况下应该是正确的。如果要匹配某些标志而不考虑其他标志,则可以使用 * .