REGLAS SNORT BASICAS

20 REGLAS BASICAS
 [Link] para detectar un intento de escaneo de puertos:

• alert tcp any any -> $HOME_NET any (msg:"Intento de escaneo de

puertos"; flags:S; sid:1001;)

• Explicación: Esta regla detectará cualquier intento de escaneo de

puertos TCP dirigido a tu red local ($HOME_NET). La regla se activará
si se detecta un paquete TCP con el flag de SYN (indicando un intento
de conexión) enviado desde cualquier dirección IP y puerto de origen
hacia cualquier dirección IP y puerto de destino en tu red local.
 2. Regla para detectar tráfico malicioso HTTP:

• alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(msg:"Tráfico HTTP malicioso detectado"; flow:to_server,established;
content:"/malware"; sid:1002;)

• Explicación: Esta regla detectará solicitudes HTTP dirigidas a tu

servidor web ($HTTP_SERVERS) que contengan la cadena "/malware"
en la URL. La regla se activará si se detecta este patrón en el tráfico
HTTP que va desde cualquier dirección IP externa ($EXTERNAL_NET)
hacia tu servidor web en el puerto HTTP estándar.
 3. Regla para detectar intentos de acceso a archivos
sensibles:
• alert tcp $EXTERNAL_NET any -> $HOME_NET $FILE_PORTS
(msg:"Intento de acceso a archivos sensibles"; file_data;
content:"/etc/passwd"; sid:1003;)

• Explicación: Esta regla detectará intentos de acceso a archivos

sensibles en tu red local ($HOME_NET). Se activará si se detecta la
cadena "/etc/passwd" en el contenido de cualquier archivo
transferido a través de TCP desde una dirección IP externa
($EXTERNAL_NET) hacia tu red local en cualquier puerto de archivos
($FILE_PORTS).
 4. Regla para detectar tráfico de correo electrónico
sospechoso:
• alert tcp any any -> $SMTP_SERVERS $SMTP_PORTS (msg:"Tráfico de
correo electrónico sospechoso"; flow:to_server,established;
content:"Subject: Viagra"; sid:1004;)

• Explicación: Esta regla detectará mensajes de correo electrónico

salientes con el asunto "Viagra" enviados desde cualquier dirección IP
y puerto de origen hacia tu servidor de correo ($SMTP_SERVERS) en
el puerto SMTP estándar. Se activará si se detecta este patrón en el
tráfico de correo electrónico saliente.
 5. Regla para detectar tráfico de malware conocido:

• alert any any -> $HOME_NET any (msg:"Tráfico de malware conocido

detectado"; content:"malware_signature"; sid:1005;

• Explicación: Esta regla detectará cualquier tráfico que contenga una

firma específica de malware conocido en tu red local ($HOME_NET).
La regla se activará si se detecta esta firma en cualquier parte del
tráfico.
 6. Regla para detectar tráfico de exploración de
vulnerabilidades:
• alert tcp any any -> $EXTERNAL_NET any (msg:"Tráfico de exploración
de vulnerabilidades"; flags:S; content:"/vulnerable_endpoint";
sid:1006;)

• Explicación: Esta regla detectará tráfico de exploración de

vulnerabilidades saliente desde cualquier dirección IP y puerto de
origen hacia direcciones IP externas ($EXTERNAL_NET). La regla se
activará si se detecta una solicitud con el flag SYN y que contenga la
ruta "/vulnerable_endpoint".
 7. Regla para detectar intentos de acceso a recursos
restringidos:
• alert any $HTTP_SERVERS -> any $HTTP_PORTS (msg:"Intento de
acceso a recursos restringidos"; http_uri; content:"/admin";
sid:1007;)

• Explicación: Esta regla detectará intentos de acceso a recursos

restringidos en tu servidor web ($HTTP_SERVERS). Se activará si se
detecta una solicitud HTTP que contenga la cadena "/admin" en la
URI, independientemente de la dirección IP de origen y el puerto de
destino.
 8. Regla para detectar intentos de ataque de inyección SQL:

• alert any any -> $SQL_SERVERS $SQL_PORTS (msg:"Intento de ataque

de inyección SQL"; content:"';"; sid:1008;)

• Explicación: Esta regla detectará intentos de ataques de inyección SQL

dirigidos a tus servidores de bases de datos ($SQL_SERVERS). Se
activará si se detecta la cadena "';" en cualquier parte del tráfico TCP
dirigido a los puertos SQL especificados.
 9. Regla para detectar tráfico de exfiltración de datos:

• alert any $HOME_NET -> any any (msg:"Tráfico de exfiltración de

datos detectado"; content:"CONFIDENCIAL"; sid:1009;)

• Explicación: Esta regla detectará intentos de exfiltración de datos

salientes desde tu red local ($HOME_NET) hacia cualquier destino. Se
activará si se detecta la cadena "CONFIDENCIAL" en cualquier parte
del tráfico saliente.
 10. Regla para detectar tráfico de brute force SSH:

• alert tcp any any -> $SSH_SERVERS $SSH_PORTS (msg:"Intento de

ataque de fuerza bruta SSH"; content:"Failed password"; sid:1010;)

Explicación: Esta regla detectará intentos de ataque de fuerza bruta SSH

dirigidos a tus servidores SSH ($SSH_SERVERS). Se activará si se detecta
la cadena "Failed password" en cualquier parte del tráfico TCP dirigido
a los puertos SSH especificados.
 11. Regla para detectar intentos de acceso a archivos
sensibles por FTP:
• alert tcp any any -> $FTP_SERVERS $FTP_PORTS (msg:"Intento de
acceso a archivos sensibles por FTP"; content:"/etc/passwd";
sid:1011;)

• Explicación: Esta regla detectará intentos de acceso a archivos

sensibles a través de FTP hacia tus servidores FTP ($FTP_SERVERS). Se
activará si se detecta la cadena "/etc/passwd" en cualquier parte del
tráfico TCP dirigido a los puertos FTP especificados.
 12. Regla para detectar tráfico de DNS anómalo:

• alert udp any any -> $DNS_SERVERS $DNS_PORTS (msg:"Tráfico de

DNS anómalo detectado"; content:"malicious_domain.com";
sid:1012;)

• Explicación: Esta regla detectará tráfico de DNS anómalo saliente

desde cualquier dirección IP y puerto de origen hacia tus servidores
DNS ($DNS_SERVERS). Se activará si se detecta la cadena
"malicious_domain.com" en cualquier parte del tráfico UDP dirigido a
los puertos DNS especificados.
 13. Regla para detectar intentos de acceso no autorizado a
recursos compartidos SMB:
• alert tcp any any -> $SMB_SERVERS $SMB_PORTS (msg:"Intento de
acceso no autorizado a recursos compartidos SMB";
content:"ACCESS_DENIED"; sid:1013;)

• Explicación: Esta regla detectará intentos de acceso no autorizado a

recursos compartidos SMB en tus servidores SMB ($SMB_SERVERS).
Se activará si se detecta la cadena "ACCESS_DENIED" en cualquier
parte del tráfico TCP dirigido a los puertos SMB especificados.
 14. Regla para detectar tráfico de IRC malicioso:

• alert tcp any any -> $IRC_SERVERS $IRC_PORTS (msg:"Tráfico de IRC

malicioso detectado"; content:"JOIN #hacker_channel"; sid:1014;)

• Explicación: Esta regla detectará tráfico de IRC malicioso saliente

desde cualquier dirección IP y puerto de origen hacia tus servidores
IRC ($IRC_SERVERS). Se activará si se detecta la cadena "JOIN
#hacker_channel" en cualquier parte del tráfico TCP dirigido a los
puertos IRC especificados.
 15. Regla para detectar intentos de acceso no autorizado a
SSH
• alert tcp any any -> $SSH_SERVERS $SSH_PORTS (msg:"Intento de
acceso no autorizado a SSH"; content:"SSH-"; sid:1015;)

• Explicación: Esta regla detectará intentos de acceso no autorizado al

servicio SSH en tus servidores SSH ($SSH_SERVERS). Se activará si se
detecta la cadena "SSH-" en cualquier parte del tráfico TCP dirigido a
los puertos SSH especificados.
 16. Regla para detectar tráfico de comando y control (C&C)
de botnet:
• alert any any -> $HOME_NET any (msg:"Tráfico de comando y control
de botnet"; content:"botnet_command"; sid:1016;)

• Explicación: Esta regla detectará tráfico asociado a comandos de

control y control de botnets en tu red local ($HOME_NET). La regla se
activará si se detecta la cadena "botnet_command" en cualquier
parte del tráfico.
 17. Regla para detectar intentos de escaneo de
vulnerabilidades:
• alert tcp any any -> $HOME_NET any (msg:"Intento de escaneo de
vulnerabilidades"; flags:S; content:"/vulnerable_endpoint"; sid:1017;)

• Explicación: Esta regla detectará intentos de escaneo de

vulnerabilidades dirigidos a tu red local ($HOME_NET). Se activará si
se detecta una solicitud con el flag SYN y que contenga la ruta
"/vulnerable_endpoint".
18. Regla para detectar tráfico de correo no deseado (spam):

• alert tcp any $SMTP_SERVERS -> any $SMTP_PORTS (msg:"Tráfico de

correo no deseado (spam) detectado"; flow:to_server,established;
content:"Subject: Spam"; sid:1018;)

• Explicación: Esta regla detectará tráfico de correo no deseado (spam)

saliente desde tus servidores de correo ($SMTP_SERVERS). Se activará
si se detecta la cadena "Subject: Spam" en el contenido de los
mensajes de correo electrónico salientes.
 19. Regla para detectar tráfico de DNS malicioso:

• alert udp any any -> $DNS_SERVERS $DNS_PORTS (msg:"Tráfico de

DNS malicioso detectado"; content:"malicious_domain.com";
sid:1019;)

• Explicación: Esta regla detectará tráfico de consultas DNS dirigido a

tus servidores DNS ($DNS_SERVERS). Se activará si se detecta la
cadena "malicious_domain.com" en cualquier parte del tráfico UDP
dirigido a los puertos DNS especificados.
20. Regla para detectar tráfico de malware basado en firma:

• alert any any -> $HOME_NET any (msg:"Tráfico de malware basado en

firma detectado"; content:"malware_signature"; sid:1020;)

• Explicación: Esta regla detectará tráfico de malware conocido en tu

red local ($HOME_NET). Se activará si se detecta la firma específica
de malware "malware_signature" en cualquier parte del tráfico.
• NOTA:
no especifica un protocolo porque utiliza el comodín any en lugar de un
protocolo específico. Cuando se utiliza any como protocolo de origen o
destino, la regla se aplica a cualquier protocolo.