Regra TCP com syn flag mas com supressão.

[MrQ]

è possivel dizer ao snort que quero uma regra que veja todas as ligações com a flag SYN mas que não gere eventos para para ligações em que a porta destino seja 139 por exemplo ? 

[Rodrigo Montoro(Sp0oKeR)]

Você pode negar nos cabeçalhos da regra

Exemplo:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"..."...)

Bastaria fazer a negação

alert tcp $EXTERNAL_NET any -> $HOME_NET !139 (msg:"..."...)

Ou poderia criar uma variável com a negação, dai caso queira adicionar novas portas só modificar a variável.

Abs!

2013/11/28 MrQ <drdo...@gmail.com>

è possivel dizer ao snort que quero uma regra que veja todas as ligações com a flag SYN mas que não gere eventos para para ligações em que a porta destino seja 139 por exemplo ? 

--
--
Você recebeu esta mensagem porque está inscrito no Grupo "Snort Brasil"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
snort-...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
snort-brasil...@googlegroups.com
 
Acesse nosso site: http://www.snort.org.br
---
Você está recebendo esta mensagem porque se inscreveu no grupo "Snort Brasil" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para snort-brasil...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--
Rodrigo Montoro (Sp0oKeR)
http://spookerlabs.blogspot.com
http://www.twitter.com/spookerlabs
http://www.linkedin.com/in/spooker

[MrQ]

Ah ok ok , eu fiz uma regra pass tcp any any -> $HOME_NET any (msg" trafego blabla") ... tambem serve certo ?