Soy nuevo en SNORT y no puedo entender lo que significa la siguiente regla:
alert tcp $EXTERNAL_NET any-> $HOME_NET any (msg:"SCAN FIN"; flags: F;
reference:arachnids,27;
Me parece que estaría alerta si recibe tráfico de la red externa definida ($ EXTERNAL_NET) a su red doméstica definida ($ HOME_NET) donde la marca TCP fin se establece por sí sola.
Esto podría tomarse para indicar una pieza de software de escaneo, ya que en una comunicación TCP estándar, FIN no se envía por sí solo, va acompañado de un ACK flack (hay más información aquí )
Lea otras preguntas en las etiquetas snort