如何使用 Snort 检测 NMAP 默认 SYN 扫描？

Question

我看到 this 有同样的问题，它得出了这个规则：

alert tcp any any -> any any (flags:S; msg:"NMAP TCP SYN"; sid: 1231213;)

但这是完全错误的，它会在几乎任何事情上提醒您，例如简单的 HTTP 或 HTTPS 请求。

我将这样重述问题：

有没有什么方法可以通过查看由单个 IP 发送的一系列数据包来检测扫描，这些数据包设置了 SYN 标志并且发送到 Snort 规则中设备上的至少 10 个端口？

Answer 1

对我的问题的简短回答：是。

最近我遇到一个名为sfportscan的模块，它有很多选项，例如内存保存数据包和分析超时和连接数的主题.

要启用 sfportscan，您应该

1- 添加这个到snort.cont通常在/etc/snort/：

preprocessor sfportscan: proto { all } \
        scan_type  { all } \
        sense_level { high } \
        logfile { alert }

它将查找所有协议和所有类型的扫描，如 SYN、Null 等，并将它们记录在 alert 文件的日志目录中（警报是一个实际的文件名），我们在选项 logfile 中提到过。括号前后的 space 很重要，没有它们，snort 解析器会发出错误。

2- 运行 snort -c "/etc/snort/snort.conf" -T 确保所有配置都正常。

3- 运行 /etc/init.d/snort stop 和 /etc/init.d/snort start 有一些延迟，以重新启动 Snort。

4- 打开您的警报文件以查看警报：

tail -f [Address to log Directory]/alert

5- 测试它是否使用 NMAP 创建日志，在其他机器上打开另一个终端并：

sudo nmap [Your Firewall or NIDS IP Address]

6- 你应该在尾文件中看到类似这样的东西：

Time: 02/23-12:54:21.183932 
event_ref: 0
[Source ip address] -> [Destination ip address] (portscan) TCP Portscan
Priority Count: 9
Connection Count: 10
IP Count: 1
Scanner IP Range: [Destination ip address]:[Destination ip address]
Port/Proto Count: 10
Port/Proto Range: 981:12174

我的笔记： Snort 是一个很棒的 IDS，它在许多免费甚至商业产品中都有使用，但它的文档和示例以及 YouTube 介绍很差，如果它的社区更多地参与 Whosebug ，那就太好了，问题。

如何使用 Snort 检测 NMAP 默认 SYN 扫描？

How to Use Snort to detect NMAP default SYN scan?

firewall

snort