Me gustaría detectar el escaneo del puerto udp en Suricata.
Busqué en Google, pero no logré encontrar la regla Suricata para detectar intentos de escaneo de puertos UDP.
Vi antes una regla de snort para este escaneo.
¿Cómo podemos detectar este tipo de escaneo en Suricata?
Hay muchos ejemplos de exploraciones UDP dentro de firmas de la comunidad ET para Suricata .
Una cosa que hay que tener en cuenta es que la naturaleza misma de un escaneo UDP. Alguien está intentando obtener una respuesta a través de un socket en esos puertos a través de UDP. También es posible que desee considerar la creación de reglas de flujo relacionadas con el protocolo UDP para decir que # de conexiones con un valor nulo (o una carga útil del escáner común) se ve desde un host ofensivo a varios hosts en algo como $ HOME_NET y las palabras de bits de flujos podrían se incluirá from_client, stateless