Como tenemos un hilo abierto con la investigación Snort, dejo aquí, ya que hablamos de scaneos nmap, una regla que detectaría el simple TCP scan conect utilizando la aplicación nmap.

Cual es entonces la regla para la creación de reglas Snort o Snort rules ?. Eso lo dejamos para otro dia.

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN nmap TCP";flags:A;ack:0; reference:arachnids,28; classtype:attempted-recon; sid:628; rev:1;)

Hay que fijarse bien en algunos detalles como las "firmas" o identificativos de un escaneo de este tipo que ya hemos explicado. Esto es un buen ejemplo de aplicación de la teoria de scanl TCP conect y TCP/IP.

Un saludo,