snort Правило для атаки rdp dos
Я новичок в правилах snort, поэтому не могу точно найти приведенное ниже правило. Это правило отправляет предупреждение, когда TCP-пакеты приходят из внешней сети и любого порта в домашнюю сеть и порт 3389? просто проверить порт, ip, протокол? Если это так, я думаю, что он не может обнаружить атаку rdp dos, потому что, когда обычное соединение rdp хочет установить это правило, отправьте также предупреждение.
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"OS-WINDOWS Microsoft Windows RemoteDesktop connect-initial pdu remote code execution attempt"; sid:21619; gid:3; rev:5; classtype:attempted-admin; reference:cve,2012-0002; reference:url,technet.microsoft.com/en-us/security/bulletin/ms12-020; metadata: engine shared, soid 3|21619, service rdp, policy balanced-ips drop, policy security-ips drop, policy max-detect-ips drop;)
Ознакомьтесь с этими правилами, попробуйте войти в мой RDP с неправильным паролем и получите следующие ошибки: https://rules.emergingthreats.net/open/snort-2.9.0/
[**] [1:2001329:7] ET POLICY RDP connection request [**]
[Classification: Misc activity] [Priority: 3]
02/24-21:51:19.945279 192.168.15.214:4763 -> 192.168.12.222:3389
TCP TTL:128 TOS:0x0 ID:10379 IpLen:20 DgmLen:86 DF
***AP*** Seq: 0x4F195349 Ack: 0xDFFE9710 Win: 0x100 TcpLen: 20
[**] [1:2001329:7] ET POLICY RDP connection request [**]
[Classification: Misc activity] [Priority: 3]
02/24-21:51:23.159044 192.168.88.214:2764 -> 192.168.122.102:3389
TCP TTL:128 TOS:0x0 ID:10414 IpLen:20 DgmLen:86 DF
***AP*** Seq: 0xC8252E54 Ack: 0x56A6EC54 Win: 0x100 TcpLen: 20
кстати. знаете ли вы, что учетная запись блокировки RDP в групповой политике, когда кто-то вводит неправильный пароль, не применяется только к пользователям "администратор"