linuxhanz
10.06.04, 13:06
Hallo ;
So, ich sitzt hier grade an einer Rule fuer ein covert_channel Prog.
(covert_tcp)
Beim Tcpdump kam dabei heraus das die Windowsize immer 512 ist.
Nun moechte ich die Windowsize mit Snort erfassen.
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Covert Channel"; content: "Se
nding Data"; flags: S; window-size 512 ; nocase; classtype:bad-unknown; rev:1;)
window-size gibt es nicht. Und die gültige Flags sind:
"Valid otions: UAPRSF12 or 0 for NO flags (e.g. NULL scan),
and !, + or * for modifiers"
Aber es muss doch gehen:
% zgrep tcp_win_check /usr/share/doc/snort/*
/usr/share/doc/snort/changelog.gz: * added sp_tcp_win_check. TCP Window Size can be looked now
Ist das irgendwo dokumentiert?
Gruss lh
So, ich sitzt hier grade an einer Rule fuer ein covert_channel Prog.
(covert_tcp)
Beim Tcpdump kam dabei heraus das die Windowsize immer 512 ist.
Nun moechte ich die Windowsize mit Snort erfassen.
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Covert Channel"; content: "Se
nding Data"; flags: S; window-size 512 ; nocase; classtype:bad-unknown; rev:1;)
window-size gibt es nicht. Und die gültige Flags sind:
"Valid otions: UAPRSF12 or 0 for NO flags (e.g. NULL scan),
and !, + or * for modifiers"
Aber es muss doch gehen:
% zgrep tcp_win_check /usr/share/doc/snort/*
/usr/share/doc/snort/changelog.gz: * added sp_tcp_win_check. TCP Window Size can be looked now
Ist das irgendwo dokumentiert?
Gruss lh