La salida de alerta de Mi Snort es como abajo. El primer elemento de la 4ª fila de cada alerta indica Protocolo. Sin embargo, en la alerta (portscan) TCP Portscan , el protocolo es PROTO: 255 . Qué significa eso?
¿Por qué Portscan usa PROTO: 255 en lugar de TCP?
Gracias
...
[**] [1:10001:1] Possible TCP DoS [**]
[Classification: DoS was detected] [Priority: 1]
07/20-21:10:29.392535 172.16.116.44:10331 -> 198.199.206.217:80
TCP TTL:63 TOS:0x0 ID:35766 IpLen:20 DgmLen:44
******S* Seq: 0xC8A50927 Ack: 0x0 Win: 0x200 TcpLen: 24
TCP Options (1) => MSS: 1460
[**] [122:1:1] (portscan) TCP Portscan [**]
[Classification: Attempted Information Leak] [Priority: 2]
07/20-21:51:21.251815 207.136.86.223 -> 172.16.114.50
PROTO:255 TTL:254 TOS:0x0 ID:28488 IpLen:20 DgmLen:160
[**] [1:648:7] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
07/20-23:51:08.158403 172.16.114.148:20 -> 194.27.251.21:26637
TCP TTL:63 TOS:0x8 ID:61880 IpLen:20 DgmLen:1500
***A**** Seq: 0xC8C20948 Ack: 0xF05AC8A1 Win: 0x7D78 TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS181]
...