من از سوریکاتا با اسکنرهای جدید و قوانین دیگر استفاده می کنم، قوانین در suricata.yaml بارگذاری می شوند، homenet و ext_net به درستی پیکربندی شده اند.
برای تست تشخیص سوریکاتا از nmap -sS در دستگاهی استفاده کردم که در آن sudicata نصب شده بود و من هیچ تشخیصی نداشتم.
برای nmap -sS قوانین استفاده شده در scan.rules alert tcp $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sS window 2048"؛ fragbits:! D؛ dsize: 0؛ پرچم ها: S، 12؛ ack: 0؛ پنجره: 2048؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ مرجع: url؛ doc.emergingthreats.net / 2000537؛ class style: attempt-recon؛ sid: 2000537؛ rev: 8؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)
alert ip $ EXTERNAL_NET هر -> $ HOME_NET هر (msg: "ET SCAN NMAP -sO"؛ dsize: 0؛ ip_proto: 21؛ آستانه: نوع هر دو، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2000536؛ رده بندی: attempted-recon؛ sid: 2000536؛ rev: 7؛ metadata: created_at 2010_07_30؛ updated_at 2010_07_30؛)
alert tcp $ EXTERNAL_NET any – $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 1024"؛ fragbits:! D؛ dsize: 0؛ flags: S؛ 12؛ ack: 0؛ window: 1024؛ threshold: type both، track by_dst، count 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009582؛ کلاس: تلاش برای بازسازی؛ sid: 2009582؛ rev: 3 ؛ metadata: created_at 2010_07_30، updated_at 2010_07_30؛)
alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 3072"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ window: 3072؛ آستانه: نوع هر دو، track by_dst، count 1، seconds 60؛ reference: url، doc.emergingthreats.net / 2009583؛ class style: attempt-recon؛ sid: 2009583؛ rev: 3؛ metadata: create_at 2010_07_30، updated_at 2010_07_30؛)
alert tcp $ EXTERNAL_NET any -> $ HOME_NET هر کدام (msg: "ET SCAN NMAP -sS window 4096"؛ fragbits:! D؛ dsize: 0؛ flags: S، 12؛ ack: 0؛ پنجره: 4096؛ آستانه: نوع هر دو، مسیر by_dst، شمارش 1، ثانیه 60؛ مرجع: url، doc.emergingthreats.net / 2009584؛ کلاس: attempted-recon؛ sid: 2009584؛ rev: 2؛ metadata: created_at 2010_07_30 ، updated_at 2010_07_30؛)