home *** CD-ROM | disk | FTP | other *** search
/ PC Plus SuperCD (UK) 1999 October / pcp156a.iso / linux / snort / scan-lib < prev    next >
Encoding:
Text File  |  1999-08-04  |  1.4 KB  |  30 lines
  1. # this library is for hostile scans and protocol pokes
  2.  
  3. # Fragmentation Attacks
  4. alert tcp any any -> any any (msg:"Tiny Fragments, possible hostile activity"; MinFrag: 128;)
  5.  
  6.  
  7. # look for stealth port scans/sweeps
  8. alert tcp any any -> 192.168.1.0/24 any (msg:"SYN FIN Scan"; flags: SF;)
  9. alert tcp any any -> 192.168.1.0/24 any (msg:"FIN Scan"; flags: F;)
  10. alert tcp any any -> 192.168.1.0/24 any (msg:"NULL Scan"; flags: 0;)
  11. alert tcp any any -> 192.168.1.0/24 any (msg:"XMAS Scan"; flags: FPU;)
  12. alert tcp any any -> 192.168.1.0/24 any (msg:"Full XMAS Scan"; flags: SRAFPU;)
  13. alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg:"NMAP TCP ping!";)
  14.  
  15. # detect fingerprinting attempts
  16. alert tcp any any -> 192.168.1.0/24 any (msg:"Possible NMAP Fingerprint attempt"; flags: SFPU;)
  17. alert tcp any any -> 192.168.1.0/24 any (msg:"Possible Queso Fingerprint attempt"; flags: S12;)
  18.  
  19. # Windows Traceroutes
  20. alert icmp any any -> 192.168.1.0/24 any (msg:"Windows Traceroute"; TTL: 1; itype: 8;)
  21.  
  22. # Standard Traceroutes
  23. alert icmp any any -> 192.168.1.0/24 any (msg:"Traceroute"; TTL: 1;)
  24.  
  25. # Watch for WinGate Scans
  26. alert tcp any any -> 192.168.1.0/24 1080 (msg:"WinGate 1080 Attempt";)
  27. alert udp any any -> 192.168.1.0/24 1080 (msg:"WinGate 1080 Attempt";)
  28. alert tcp any any -> 192.168.1.0/24 8080 (msg:"WinGate 8080 Attempt";)
  29. alert udp any any -> 192.168.1.0/24 8080 (msg:"WinGate 8080 Attempt";)
  30.