服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Snort,Portscans和扫描的IP范围字段
Intereting Posts
如何在不重新启动进程的情况下重新加载openvpnconfiguration 白屏 – Ubuntu 16.04上的PHP 7无法渲染脚本 如何自动将特定的MySQL表从一台机器移动到另一台机器? 在文件系统中有太多的文件是否会对io性能产生重大影响? 通过LANnetworking从另一台计算机访问本地主机(xampp) – 如何? 我怎么能告诉Apache强制客户端authentication,但要授权基于列出的可信证书而不是CA? 自动安装samba窗口在Fedora Core 15中共享 BitLocker的安全性,WinPE中没有PIN码? Modsecurity错误:无法访问DBM文件 与stunnel和haproxy一起使用虚拟IP 从专用子网中的计算机访问yum存储库 在angular色中定义的Ansible处理程序是否在整个剧本或angular色之后运行? 需要一个活的UDP回显服务器IP和端口 问题:Ubuntu服务器死了。 我可以从备份访问/ var / lib / mysql文件…如何让他们备份在另一台机器上? WordPress的永久链接不能在Google云端平台上使用

Snort,Portscans和扫描的IP范围字段

根据manual.snort.org,TCP Portscans从一台计算机转到另一台计算机,但是当您在snort / snorby中查看一个tcp portscan警报时,您可以看到:

一方面:资料来源:136.238.4.165目的地:10.19.0.5

另一方面:Priority.Count:.5.Connection.Count:.18.IP.Count:.1。 Scanner.IP.Range:.10.10.28.88:136.238.78.44 .Port / Proto.Count:.6.Port / Proto.Range:.199:58891。

所以,一方面我们有源和目的字段,那就是机器10.19.0.5是从136.238.4.165扫描的。 另一方面,扫描仪IP范围说,从10.10.28.88到136.238.78.44扫描到10.19.0.5

我应该如何理解这些信息? 哪个设备开始扫描?

我想你已经太了解了TCP连接的术语,以及这与Snort的来源和目标意味着什么。

虽然Snort确实有能力保存一些状态信息(称为flowbits),但签名是针对单个数据包进行处理的。 这意味着源和目标不映射到客户端和服务器,它们直接映射到IP标头中的源地址和目标地址字段。 这意味着导致该规则触发的特定数据包在目的地址字段中有10.19.0.5,在源地址字段中有136.238.4.165。 我们在这里谈论的是一个单一的数据包,与谁发起会议无关。

还要记住sfPortscan预处理器是如何工作的。 它的检测algorithm实际上只针对3种模式

  1. 一个主机与一台主机通信并且遇到很多端口的TCP / UDP通信
  2. 许多主机与一台主机通信并遇到多个端口的TCP / UDP通信
  3. TCP / UDP / ICMPstream量,其中一个主机与单个端口上的多个主机通信

很大程度上是因为#3这个警报可以由任何实际提供服务的系统触发。 出于某种原因,Windows SMB文件服务器似乎是误报最严重的罪犯。 这使得sfPortscan预处理器exception嘈杂。 事实上,如此嘈杂,除非你有一个严格限制的networking,并且拥有大量调整输出的专业知识,否则甚至不值得启用这个预处理器。