alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NETBIOS DCERPC NCACN-IP-TCP trend-serverprotect Trent_req_num_30010 overflow attempt"; flow:established,to_server;sid:12335; rev:15;)
如上所示一条snort规则,tcp中的端口分为两种,保留端口和非保留端口 保留端口就是小于1024的端口号,通常作为服务端;非保留端口是大于1024的端口,通常作为客户端
保留端口在哪儿,网络流量就从哪儿发出。比如,保留端口在源端口就从服务端发出的流量,保留端口在目的端口,就从客户端发出流量。