Параметр flags

За допомогою параметра flags можна організувати різні перевірки встановлених в TCP-сегменті прапорів. Перерахуємо їх, починаючи наймолодшим прапором (справа наліво в байті TCP-прапорів):

F -встановлений прапор FIN;

S - встановлений прапор SIN;

R - встановлений прапор RESET;

Р - встановлений прапор PUSH;

А - встановлений прапор АСК;

U - встановлений прапор URG;

R - встановлений прапор RESET;

2 - встановлений ехо-біт ЕСN (раніше зарезервований біт);

1 -встановлений біт CWR (раніше зарезервований біт);

0 - не встановлено жодного прапора.

Крім того, для перевірки встановлених комбінацій прапорів допускається використовування трьох модифікаторів (+ * !). Наприклад, запис А+ означає, що в пакеті повинен бути встановлений прапор АСК. При цьому він може бути єдиним встановленим прапором або разом з ним можуть бути встановлені і інші прапори. Опис підходить і для пакетів із стандартною комбінацією прапорів PUSH (тобто нові дані відправляються одночасно з підтвердженням отримання минулої порції). Модифікатор “*” використовується для виявлення пакетів, в яких встановлений один або декілька прапорів із заданої комбінації. Наприклад, рядок SFP* визначає пошук пакетів зі встановленим хоча б одним з трьох прапорів SYK, FIN і PUSH, а також пакетів з будь-якою їх комбінацією. Останній модифікатор “!” дозволяє задати пошук пакетів, в яких не встановлений даний прапор. Параметр flags: !S, наприклад, дозволяє знайти всі пакети, в яких не встановлений прапор SYN.

Формат:

flags:

На мал. 14. 1 показано графічне представлення кодів Snort для прапорів TCP. Доступні модифікатори прапорів:

+ - всі пакети, в яких встановлений заданий прапор (або прапори) і будь-які інші прапори;


* - всі пакети, в яких встановлений один з вказаних прапорів;

! - всі пакети, в яких не встановлений вказаний прапор (прапори).

Приклад правила:

alert tcp any any -> any any (msg: "Сканування за допомогою null-пакетів"; /

flags: 0; )

Приклад звіту:

[**]Сканування за допомогою null-пакетів [**]

04/25-05:49:51.914748 192.168.143.15:54746 -> 192.168.143.16:21

TCP TTL: 51 TOS: 0x0 ID: 23446

******** Seg: 0x1CED3E2E Acк: 0x0 Win: 0x1000

TCR Options => WS: 10 NOP MSS: 265 TS: 1061109567 0 EOL EOL

В приведеному вище прикладі звіту міститься рядок з восьми символів зірочок (********). Snort замінює зірочки відповідними кодами для встановлених в пакеті прапорів (12UAPRSF), якщо отримання цього пакету викликало попередження. Оскільки в даному випадку проводилося сканування за допомогою null-пакету (в пакеті не встановлено ніяких прапорів), то всі зірочки залишилися на місці.


6092113578206494.html
6092170823065050.html
    PR.RU™