私は(私の)GNU / Linuxホストのnmapスキャンを検出することに興味があります。 barnyard2とsnorbyでsnortを使用したい場合、または可能であれば、snort Unified2ログで署名ベースのインスツルメンテーションを実行したいと思います。 nmap -Aスキャンを実行すると、次のようなパケットが表示されることが確認されました。
[ 0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00 ................
[ 16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45 E...\[email protected]
[ 32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75 .'..Priority Cou
[ 48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E nt: 9.Connection
[ 64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75 Count: 8.IP Cou
[ 80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50 nt: 2.Scanner IP
[ 96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37 Range: 84.242.7
[ 112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E 6.66:185.30.166.
[ 128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 69.Port/Proto Co
[ 144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F unt: 10.Port/Pro
[ 160] 74 6F to
上のバッグは何ですか? nmapだけに関連していますか? (私はこれがとても疑わしいです)
残念ながら、sfPortscanで構成されたsnortは、私が望むほど効率的または正確ではありません(スキャンが検出されましたが、何らかの理由でソース/ターゲットなどの詳細を表示できません:)https://i.stack.imgur.com/uqess.png、https://i.stack.imgur.com/faulS.png。私のiptablesは--hitcountと--secondsで構成されており、「stream5:ウィンドウ外のリセット」ポップアップを生成していくつかのスキャンを検出できます。 )。
ここで私のオプションは何ですか?
ベストアンサー1
新しい脅威ルールセットを見ましたか?具体的にはスキャンルール?
検出スキャンを100%の精度で検出することはできません。通常、しきい値の指定が便利です。大規模ネットワークの境界ファイアウォールでは、特定のリモートホストが一定期間接触した複数のホストの数を調べます。 1 つのホストで指定された期間、そのホスト上のさまざまなポートの数。 iptablesの面で良いオプションは、ドロップされたパケットを記録することです。 snortを使用してこれを行うこともできます。デフォルトのアイデアは、開いていないいくつかのポートを監視することです。定義によると、これらのポートへの連絡は要求されません。 (わかりました、それはnmapスキャンを検出する目的から少し外れています...)