私は(私の)GNU / Linuxホストのnmapスキャンを検出することに興味があります。 barnyard2とsnorbyでsnortを使用したい場合、または可能であれば、snort Unified2ログで署名ベースのインスツルメンテーションを実行したいと思います。 nmap -Aスキャンを実行すると、次のようなパケットが表示されることが確認されました。
[ 0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00 ................
[ 16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45 E...\[email protected]
[ 32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75 .'..Priority Cou
[ 48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E nt: 9.Connection
[ 64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75 Count: 8.IP Cou
[ 80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50 nt: 2.Scanner IP
[ 96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37 Range: 84.242.7
[ 112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E 6.66:185.30.166.
[ 128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 69.Port/Proto Co
[ 144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F unt: 10.Port/Pro
[ 160] 74 6F to
上のバッグは何ですか? nmapだけに関連していますか? (私はこれがとても疑わしいです)
残念ながら、sfPortscanで構成されたsnortは、私が望むほど効率的または正確ではありません(スキャンが検出されましたが、何らかの理由でソース/ターゲットなどの詳細を表示できません:)https://i.stack.imgur.com/uqess.png、https://i.stack.imgur.com/faulS.png。私のiptablesは--hitcountと--secondsで構成されており、「stream5:ウィンドウ外のリセット」ポップアップを生成していくつかのスキャンを検出できます。 )。
ここで私のオプションは何ですか?
答え1
新しい脅威ルールセットを見ましたか?具体的にはスキャンルール?
検出スキャンを100%の精度で検出することはできません。通常、しきい値の指定が便利です。大規模ネットワークの境界ファイアウォールでは、特定のリモートホストが一定期間接触した複数のホストの数を調べます。 1 つのホストで指定された期間、そのホスト上のさまざまなポートの数。 iptablesの面で良いオプションは、ドロップされたパケットを記録することです。 snortを使用してこれを行うこともできます。デフォルトのアイデアは、開いていないいくつかのポートを監視することです。定義によると、これらのポートへの連絡は要求されません。 (わかりました、それはnmapスキャンを検出する目的から少し外れています...)
答え2
nmapスキャン検出を学術練習として扱いますか、または実際にポートスキャンを実行している攻撃者を検出しようとしますか?後者は非常に難しいかもしれません。これは、攻撃者がスキャンを遅くしたり、スキャンを複数のクライアントに分散させて実装した可能性がある経験的な方法を無効にする可能性があるためです。したがって、これが目標であれば「ウサギの洞窟に陥る」ことに注意してください。-\
第二に、ちょうどあなたがしたいですか?能力検出スキャンまたは基本に興味がある場合詳細これはどのように達成できますか?つまり、これを完了しようとしていますか、それともそのトピックを調査していますか?
前者の場合は、SnortやBroなどのさまざまなIDSツールと多くの商用製品をインストールできます。ただし、単調に増加するTCPポート番号スキャンなど、特定の種類のスキャンのみを検出できます。
後者の場合、通常のnmapスキャンで生成されたネットワークトラフィックを理解してこれらのパターンを見つけたい場合は、少数のポートでnmapを実行し、次を使用して生成されたトラフィックを確認することをお勧めします。スニファー(tcpdumpなど)次に、構築しているすべてのシステムで署名/規則を実装できます。
役に立ったことを願っています!
答え3
手動オペレーティングシステム識別子、p0f,nmap
少なくとも一部の種類のスキャンを認識できます。nmap
簡単なpingスキャンから非常に珍しいスキャンまで、さまざまな種類のスキャンを実行できることに注意してください。ご質問が100%できない場合があります。