A menos que haya agregado una nueva clase de ataque personalizada en su archivo classification.config con el nombre attempted0recon , no hay No hay ninguna clase de este tipo en Snort por defecto . Sin embargo, hay una clase llamada attempted-recon .
Tampoco ha configurado ningún filtro adicional para el que se debe informar el mensaje "Se detectó una retransmisión de SSH" , por lo que su ejemplo se leería como:
Alerta con clase attempted0recon y mensaje 'Retransmisión SSH
detectó ' cualquier conexión TCP entrante al puerto <destinationAddress>
22 originados desde cualquier dirección y puerto remotos.
No lo escribí en el orden exacto, ya que eso lo haría completamente ilegible, pero el formulario de reglas generales de Snort es:
action proto src_ip src_port direction dst_ip dst_port (options)
Por lo tanto, tu regla podría leerse así:
alert tcp any any -> <destinationAddress> 22 (msg:"SSH retransmission detected";
content:"TCP Retransmission";
nocase;
classtype:attempted-recon;)
para su regla en el ejemplo que proporcionó. Dado que la otra regla (primer paquete) no puede depender de ningún contenido de carga útil (ya que no veo ninguno en su impresión), podría, por ejemplo, usar dsize keyword en la parte de opciones para identificarlas por su tamaño y / o otro no Detecciones de carga útil :
alert tcp any any -> <destinationAddress> 22 (msg:"SSH key exchange";
dsize: <518;
classtype:tcp-connection;)
Obviamente, podría adoptar estos para adaptarse mejor a sus necesidades y son solo ejemplos.
