¿Son correctas estas reglas de Snort?

1

Escribí esta regla para que cuando haya más de tres intentos fallidos de conexión SSH, haya una alerta pero no funcione. ¿Estas reglas están mal escritas? O si no, pido la redacción exacta de la regla.

Es una emergencia, es para un sostén en unas pocas semanas ...

Esta es mi regla:

alert tcp 192.168.1.30 any -> 192.168.1.50 22 ( 
msg:"SSH Brute Force Attempt";
flow:established,to_server; 
content:"SSH"; nocase; offset:0; depth:3; 
detection_filter:track by_src, count 3, seconds 60; 
sid:10000001; rev:1;)
    
pregunta Michel Tangue 24.07.2018 - 12:12
fuente

0 respuestas

Lea otras preguntas en las etiquetas