میخوام بدونم آیا در اسنورت میشه رولی نوشت Ú©Ù‡ به جای یک پکت در واقع یک جریان از پکت ها رو Ú†Ú© کنه ØŸ مثلا Ùرض کنید من میخوام رولی بنویسم Ú©Ù‡ پکت های TCP رو Ú†Ú© کنه Ú©Ù‡ اگر ÙÙ„Ú¯ های S Ùˆ F اون ست شده بودن ØŒ بعد بره برگرده دنبال پکت های ICMP Ú©Ù‡ از مبدا 192.168.2.2 دارن میان Ùˆ همچنین اگر 20 تا پکت UDP هم در کمتر از 100 ثانیه از مبدا 192.168.2.3 رسیده بود ØŒ اون وقت این رÙتارو لاگ Ú©Ù† !
چیزی که خودم سرچ کردم به نظرم رسید شاید با رول های activate/dynamic شدنی باشه . کسی نظری داره ؟
در همین راستا ØŒ دنبال یه رول بودم Ú©Ù‡ پکت های Øمله TearDrop رو تشخیص بده . این رول رو اغلب جاها پیدا کردم Ú©Ù‡ کاملا مسخره Ùˆ بی کاربرده
باز رسیدم به همون بØØ« بالا Ú©Ù‡ کردم ØŒ اگه میشد یه جریانی از پکت هارو Ú†Ú© کرد ØŒ اون وقت رول مناسب واسه teardrop رو هم میشد نوشت . نظریات Ùˆ تجربیات لطÙا .
چیزی که خودم سرچ کردم به نظرم رسید شاید با رول های activate/dynamic شدنی باشه . کسی نظری داره ؟
در همین راستا ØŒ دنبال یه رول بودم Ú©Ù‡ پکت های Øمله TearDrop رو تشخیص بده . این رول رو اغلب جاها پیدا کردم Ú©Ù‡ کاملا مسخره Ùˆ بی کاربرده
کد:
alert udp $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS Teardrop attack"; fragbits:M; id:242; classtype:attempted-dos; sid:270; rev:6;)
باز رسیدم به همون بØØ« بالا Ú©Ù‡ کردم ØŒ اگه میشد یه جریانی از پکت هارو Ú†Ú© کرد ØŒ اون وقت رول مناسب واسه teardrop رو هم میشد نوشت . نظریات Ùˆ تجربیات لطÙا .
Comment