Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Параметр flags
|
|
За допомогою параметра flags можна організувати різні перевірки встановлених в TCP-сегменті прапорів. Перерахуємо їх, починаючи наймолодшим прапором (справа наліво в байті TCP-прапорів):
F -встановлений прапор FIN;
S - встановлений прапор SIN;
R - встановлений прапор RESET;
Р - встановлений прапор PUSH;
А - встановлений прапор АСК;
U - встановлений прапор URG;
R - встановлений прапор RESET;
2 - встановлений ехо-біт ЕСN (раніше зарезервований біт);
1 -встановлений біт CWR (раніше зарезервований біт);
0 - не встановлено жодного прапора.
Крім того, для перевірки встановлених комбінацій прапорів допускається використовування трьох модифікаторів (+ *!). Наприклад, запис А+ означає, що в пакеті повинен бути встановлений прапор АСК. При цьому він може бути єдиним встановленим прапором або разом з ним можуть бути встановлені і інші прапори. Опис підходить і для пакетів із стандартною комбінацією прапорів PUSH (тобто нові дані відправляються одночасно з підтвердженням отримання минулої порції). Модифікатор “*” використовується для виявлення пакетів, в яких встановлений один або декілька прапорів із заданої комбінації. Наприклад, рядок SFP* визначає пошук пакетів зі встановленим хоча б одним з трьох прапорів SYK, FIN і PUSH, а також пакетів з будь-якою їх комбінацією. Останній модифікатор “! ” дозволяє задати пошук пакетів, в яких не встановлений даний прапор. Параметр flags:! S, наприклад, дозволяє знайти всі пакети, в яких не встановлений прапор SYN.
Формат:
flags: < код_установлених_прапорів>
На мал. 14. 1 показано графічне представлення кодів Snort для прапорів TCP. Доступні модифікатори прапорів:
+ - всі пакети, в яких встановлений заданий прапор (або прапори) і будь-які інші прапори;
* - всі пакети, в яких встановлений один з вказаних прапорів;
! - всі пакети, в яких не встановлений вказаний прапор (прапори).
Приклад правила:
alert tcp any any -> any any (msg: " Сканування за допомогою null-пакетів"; /
flags: 0;)
Приклад звіту:
[**]Сканування за допомогою null-пакетів [**]
04/25-05: 49: 51.914748 192.168.143.15: 54746 -> 192.168.143.16: 21
TCP TTL: 51 TOS: 0x0 ID: 23446
******** Seg: 0x1CED3E2E Acк: 0x0 Win: 0x1000
TCR Options => WS: 10 NOP MSS: 265 TS: 1061109567 0 EOL EOL
В приведеному вище прикладі звіту міститься рядок з восьми символів зірочок (********). Snort замінює зірочки відповідними кодами для встановлених в пакеті прапорів (12UAPRSF), якщо отримання цього пакету викликало попередження. Оскільки в даному випадку проводилося сканування за допомогою null-пакету (в пакеті не встановлено ніяких прапорів), то всі зірочки залишилися на місці.