我看到了这个同样的问题,并谈到这个规则:
alert tcp any any -> any any (flags:S; msg:"NMAP TCP SYN"; sid: 1231213;)
但这是完全错误的,它会在几乎任何类似简单的 HTTP 或 HTTPS 请求时提醒您。
我将这样重申这个问题:
有没有办法通过查看单个 IP 发送的一系列数据包来检测扫描,这些数据包设置了 SYN 标志,并在 Snort 规则中发送到设备上的至少 10 个端口?