SNORT 仅警告传入的交通

当有人建立联系时,我正在努力提出警告 PORT 25 (tcp), 无论源或目的地如何。 为此,我想出了这样一个简单的规则:



        alert tcp any any -> any 25 (msg:"Email sent"; sid:10001337007;)

来自客户 Windows 我试图在启动它的服务器上扫描打开的端口 SNORT, 并且,正如所预期的那样,它发出以下警告:



        Jan 19 23:23:52 HSOC01 snort[7678]: [1:1411402415:0] Email sent {TCP} 192.168.0.134:50848 -> 192.168.0.26:25

但是,扫描打开端口时 (来自同一客户 Windows) 在,说,域控制器,不会产生警告。

此外,通过端口打开与邮件服务器的连接 25 没有推出任何东西。

有人可以解释发生了什么吗?
2021-03-22 添加评论
分享

没有找到相关结果

    已邀请:

    三叔

    赞同来自:

    如果一个 Snort 未内置或未从范围接收流量 / 塔帕,他不会看到没有进来的流量 / window Snort. 如果它没有帮助,请告诉我们网络的拓扑以及哪里 Snort.
    2021-03-22 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2023, All Rights Reserved