Действительно ли случайные пакеты обычны?
Вы, вероятно, видите это в результате лавинной рассылки SYN, о которой Вы отправили в другом вопросе.
Ответ заключается в том, как на самом деле работают лавинные рассылки SYN. Основной принцип позади них - то, что пакеты, прибывающие в цель, должны прибыть из исходного адреса, который недостижим для максимальной эффективности.
Почему? Поскольку пакеты SYN должны открыть сессию (первая часть квитирования TCP) на целевой машине, которая остается открытой максимально долго, поднимая ресурсы на цели.
Если бы исходный IP был достижим, то целевая машина отправила бы ответ и сразу вернула бы сброс соединения. Сеанс TCP закрылся бы немедленно, или по крайней мере очень быстро. Ресурсы были бы освобождены. Не большая часть нападения.
На, и я должен указать, что не имеет значения, каков "реальный" исходный адрес взломщика. Адрес, который Вы видите выше, просто вставляется в заголовки пакета. Это бессмысленно, но это делает задание.
Таким образом, исходный IP лавинной рассылки SYN должен обязательно быть недостижимым.
Как большая часть IDSes, Фырканье является очень сложной частью techonlogy и требует, чтобы хорошее усилие начало приводить к полезным результатам. Настройка требует обоих много времени, проведенного, анализируя предупреждения, а также какие сервисы Вы имеете в наличии так, чтобы можно было определить, какой rulesets должен быть включен, и который должен быть отключен. Знание, что Вы интересуетесь двумя сервисами конкретно, помогает, сужает то, что может быть полезным, делают Вас.
Просматривая обоих официальные правила Sourcefire, а также третья сторона EmergingThreats, единственное предупреждение, которое я нашел, для соответствия успехам входа в систему World of Warcraft и отказам. Я запустил бы путем поиска сайта правил Sourcefire сервисы. Вы могли бы также получить прибыль от чтения на sfPortscan препроцессоре в Руководстве.
К сожалению, я не знаю много о ClearOS и как они переносят управление приложением. Однако приложение фырканья является на самом деле довольно легким чтением, после того как Вы проходите через многословие.