alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 

Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 

Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 

quangteospk wrote:

Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 

Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 

1 và 2 là reserved bits (CWR và ECN) đã depricated và thay thế bằng 'C' và 'E'.

Đọc ở đây:

http://manual.snort.org/node465.html 

conmale wrote:

quangteospk wrote:

Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 

Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 

1 và 2 là reserved bits (CWR và ECN) đã depricated và thay thế bằng 'C' và 'E'.

Đọc ở đây:

http://manual.snort.org/node465.html 

- Chú Comale ơi, "deprecated" chứ ạ
- Đọc topic này lại nhớ đến loạt bài "Những cuộc đối thoại với rookie" của chú, cũng có nhắc đến RFC 3168 này.