suricata?
суть в чем что есть ребятки которые ходят из корп сети "домой" по рдп.
задумал научить сурикату отловить это добро. ))
и конечно столкнулся с тем что это добро не гуглится.
на помощь пришла нейросеть которая подкинула правило вида:
alert tcp any any -> any any (msg:"MS Terminal Service on non-standard port detected"; flow:established; content:"|03 00 00 0b|"; depth:4; content:"|0e 00 00 00|"; distance:66; within:4; byte_test:2,&,0x8000,2,relative; metadata:policy security-ips drop, service terminal-services; reference:url,https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/67a0c9e8-1a5d-4763-af09-2b3d6e1f92a9; classtype:protocol-command-decode; sid:1000001; rev:1;)
если до скобок еще понятно), то например content:"|0e 00 00 00| уже что-то не особо.
откуда это добро взять самому? запустить wireshark и посмотреть чего нить с фильтром rdp?)
https://suricata.readthedocs.io/en/latest/rules/intro.html
https/github.com/sudohyak/suricata-rules
Обсуждают сегодня