蛮力签名和相关的触发条件

如果会话具有相同的源和目的地，但触发我们孩子签名，40000，10 倍在 60 秒内，我们叫它蛮力攻击。

儿童签名，40000，寻找"530"ftp 响应消息后用户发送"通行证"的命令。

如果会话具有相同的源和目的地，但触发我们孩子签名，40002，100 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，40002，寻找 dns 响应标头，如果所有的 count(Question/Answer/Authority/Additional) 是 1。

如果会话具有相同的源和目的地，但触发我们孩子签名，31696，30 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31696，寻找博士介绍 smb 响应错误代码 0x50001，与任何 smb 命令的错误代码 0xc000006d。

如果会话具有相同的源和目的地，但触发我们孩子签名，31706，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31706，寻找 LDAP bindResponse(27)，如果 resultCode 是 49。

如果会话具有相同的源和目的地，但触发我们孩子签名，31708，100 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31708，寻找 http 响应代码 401 与"WWW 身份验证:"在响应标头。

如果会话具有相同的源和目的地，但触发我们孩子签名，31709，10 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31709，适用于 smtp、pop3、imap 3 应用程序。

触发条件发现在响应代码 535 在 smtp 中，imap"No/坏登录/登录失败"模式和"-ERR"对 pop3 PASS 命令。

如果会话具有相同的源和目的地，但触发我们孩子签名，31719，25 倍在 60 秒内，我们叫它是强力攻击。

Mysql clientauth 舞台上，孩子签名，31719，正在寻找错误代码 1045年。

如果会话具有相同的源和目的地，但触发我们孩子签名，31732，10 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31732，寻找响应数据包中的"登录错误"模式。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，31753，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31753，寻找"登录失败，用户"从响应数据包。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，31754，10 倍在 60 秒内，我们叫它是强力攻击。

从响应数据包，孩子签名，31754，正在寻找"失败，用户的密码身份验证"。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，31761，7 次在 60 秒内，我们叫它是强力攻击。

从响应数据包，孩子签名，31761，正在寻找"失败，用户的密码身份验证"。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，31763，10 倍在 60 秒内，我们叫它是强力攻击。

从响应数据包，孩子签名，31763，正在寻找"登录失败"。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，31764，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31764，寻找与严重性代码 8 和安全检查代码 0xf 的 0x1219"代码点"。

如果会话具有相同的源和目的地，但触发我们孩子签名，31914，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31914 是在每个连接上的警报在 ssh 服务器。

如果会话具有相同的源和目的地，但触发我们孩子签名，31993，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，31993"邀请"方法在上找 SIP 会话。

如果会话具有相同的源和目的地，但触发我们孩子签名，32256，10 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，32256，寻找"x-私营-潘-sslvpn： 身份验证失败"从 http 响应标头。

如果会话具有相同的源和目的地，但触发我们孩子签名，32452，40 倍在 60 秒内，我们叫它是强力攻击。

孩子签名，32452 寻找具有内容长度的 HTTP 请求，但没有"\r\n\r\n"在请求中。

如果会话具有相同的源和目的地，但触发我们孩子签名，32513，10 倍在 20 秒内，我们叫它是强力攻击。

在 http uri 路径与".aspx"孩子签名，32513，寻找"%3 楼"

如果会话具有相同的源和目的地，但触发我们孩子签名，32785，10 倍于 30 秒，我们叫它是强力攻击。

儿童签名，32785，正在寻找中星号消息呼叫号码字段。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，33020，8 次在 100 秒，我们叫它是强力攻击。

儿童签名，33020，正在寻找在 ms rdp 请求的连接操作。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，33435，30 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，33435，正在寻找的实验代码 500 和响应标头包含"\nX-Powered-By: ASP\.NET"

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，33592，60 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，33592，寻找"登记册"SIP 方法。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，34520，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，34520，寻找 SIP 再见方法。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，34548，20 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，34548，寻找 HTTP 响应 407 和 NTLM 代理 authorizationi 条件。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，34556，100 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，34556，寻找 HTTP 401 响应。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，34767，100 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，34767，从霍伊奇工具寻找 HTTP 请求。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，34842，60 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，34842，寻找 DNS 请求。

如果会话具有相同的源和相同的目的地，但触发我们孩子签名，35364，60 倍在 60 秒内，我们叫它是强力攻击。

儿童签名，35364，正在寻找一个 SMB 谈判 (0x72) 的请求。  在短时间内的多个请求可能是攻击的 CVE-2010年-0231年。

此事件表示有人正在进行蛮力攻击, 并试图通过 COM_CHANGE_USER 命令将其他用户身份验证为 MySQL 服务器。
如果会话具有相同的源和目标, 但触发了我们的子签名, 则在60秒内361577次, 我们称它为蛮力尝试.

如果会话有相同的源和目标, 但触发我们的子签名, 31670, 10 次在60秒内, 我们称它是蛮力攻击。

31670的子签名正在查找未经授权的客户端的 ICCP COTP 连接请求。

如果会话有相同的源和目标, 并触发我们的子签名, 36518, 38 次, 在60秒内, 我们认为这是一个蛮力攻击。
36518 的子签名正在寻找来自 DNS 服务器的 NXDOMAIN 响应.

此事件表示有人使用蛮力攻击访问 WordPress wp-login.php。强力签名寻找 （默认） 10 个或更多的孩子签名工贸触发器： 37480 在 60 秒。儿童签名寻找对 wp login.php 访问尝试。 

此警报指示 HTTP 302 临时重定向。多个重定向的身份验证响应指示目标服务器上的可能蛮力攻击。

如果会话有相同的源和相同的目标, 但触发我们的孩子 signature,39290,100 时间在30秒内, 我们称它是一个蛮力攻击。

Windows SMB SMBLoris 拒绝服务漏洞

如果会话有相同的源和相同的目标, 并触发我们的子签名, 37713, 100 次在10秒内, 我们称它是蛮力攻击。子签名正在检查精心编制的 SMB 请求.