banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Nhờ phân tích rule Snort  XML
  [Question]   Nhờ phân tích rule Snort 08/01/2013 21:45:39 (+0700) | #1 | 272545
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 


Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm.
Jazz
[Up] [Print Copy]
  [Question]   Nhờ phân tích rule Snort 09/01/2013 05:35:38 (+0700) | #2 | 272550
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

quangteospk wrote:
Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 


Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 


1 và 2 là reserved bits (CWR và ECN) đã depricated và thay thế bằng 'C' và 'E'.

Đọc ở đây:

http://manual.snort.org/node465.html
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Nhờ phân tích rule Snort 09/01/2013 10:20:09 (+0700) | #3 | 272563
bino1810
Member

[Minus]    0    [Plus]
Joined: 10/02/2012 10:38:28
Messages: 61
Location: /home/cuonglm
Offline
[Profile] [PM]

conmale wrote:

quangteospk wrote:
Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 


Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 


1 và 2 là reserved bits (CWR và ECN) đã depricated và thay thế bằng 'C' và 'E'.

Đọc ở đây:

http://manual.snort.org/node465.html 


- Chú Comale ơi, "deprecated" chứ ạ smilie
- Đọc topic này lại nhớ đến loạt bài "Những cuộc đối thoại với rookie" của chú, cũng có nhắc đến RFC 3168 này.
There is more than one way to do it!
[Up] [Print Copy]
  [Question]   Nhờ phân tích rule Snort 09/01/2013 10:59:10 (+0700) | #4 | 272564
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

bino1810 wrote:

conmale wrote:

quangteospk wrote:
Mình có tham khảo qua một rule được cung cấp bởi bleeding-edge. Tuy nhiên có một điểm không hiểu trong rule này. Tìm kiếm trong manual của Snort cũng không thấy nhắc tới option này.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "BLEEDING-EDGE SCAN NMAP -sS"; fragbits: !D; dsize: 0; flags: S,12; ack: 0; window: 2048; reference:arachnids,162; classtype: attempted-recon; sid: 2000537; rev:3; ) 


Ở rule trên options flags: S thì có thể hiểu là packet gửi tới với trường TCP Flags trong TCP Header được thiết lập ở SYN. Tuy nhien mình không hiểu con số 12 ở đây có ý nghĩa gì.

Để đề phòng đây là một option cũ có thể đã được bỏ đi trong các phiên bản sau này của Snort mình cũng có tìm kiếm trong các manual cũ của Snort nhưng cũng không thấy nhắc tới. Nhờ mọi người giải thích dùm. 


1 và 2 là reserved bits (CWR và ECN) đã depricated và thay thế bằng 'C' và 'E'.

Đọc ở đây:

http://manual.snort.org/node465.html 


- Chú Comale ơi, "deprecated" chứ ạ smilie
- Đọc topic này lại nhớ đến loạt bài "Những cuộc đối thoại với rookie" của chú, cũng có nhắc đến RFC 3168 này.  


ừa, deprecated smilie. Cảm ơn bino1810.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|