nmap 스캔을 감지하는 가장 효율적인 방법은 무엇입니까?

tag-icon tag-icon networking nmap snort
nmap 스캔을 감지하는 가장 효율적인 방법은 무엇입니까?

나는 (나의) GNU/Linux 호스트에 대한 nmap 스캔을 탐지하는 데 관심이 있습니다. barnyard2 및 snorby와 함께 snort를 사용하고 싶거나 가능하다면 snort Unified2 로그에서 서명 기반 계측을 수행하고 싶습니다. nmap -A 스캔을 수행할 때 다음과 유사한 패킷이 나타나는 것을 확인했습니다.

[    0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00  ................
[   16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45  E...\[email protected]
[   32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75  .'..Priority Cou
[   48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E  nt: 9.Connection
[   64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75   Count: 8.IP Cou
[   80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50  nt: 2.Scanner IP
[   96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37   Range: 84.242.7
[  112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E  6.66:185.30.166.
[  128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F  69.Port/Proto Co
[  144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F  unt: 10.Port/Pro
[  160] 74 6F                                            to

위에 가방은 뭔가요? nmap에만 관련이 있나요? (나는 이것이 매우 의심스럽다)

불행하게도 sfPortscan으로 구성된 snort는 내가 원하는 만큼 효율적이거나 정확하지 않습니다(스캔이 감지되었지만 어떤 이유로 소스/대상과 같은 세부 정보를 볼 수 없습니다::https://i.stack.imgur.com/uqess.png,https://i.stack.imgur.com/faulS.png. 내 iptables는 --hitcount 및 --seconds로 구성되어 "stream5: 창 외부 재설정" 팝업을 생성하여 일부 스캔을 감지할 수 있습니다. ).

여기서 내 옵션은 무엇입니까?

답변1

새로운 위협 규칙 세트를 살펴보셨나요? 구체적으로 그들의스캔 규칙?

탐지 스캔을 100% 정확도로 탐지할 수는 없습니다. 일반적으로 임계값 지정이 유용합니다. 대규모 네트워크의 경계 방화벽에서는 특정 원격 호스트가 일정 기간 동안 접촉한 여러 호스트 수를 살펴봅니다. 단일 호스트에서 지정된 기간 동안 해당 호스트에 있는 다양한 포트 수입니다. iptables 측면에서 좋은 옵션은 삭제된 패킷을 기록하는 것입니다. snort를 사용하여 이를 수행할 수도 있습니다. 기본 아이디어는 열려 있지 않은 일부 포트를 모니터링하는 것입니다. 정의에 따르면 이러한 포트에 대한 접촉은 요청되지 않습니다. (좋아, 그것은 nmap 스캔을 감지하는 목표에서 약간 벗어난 것입니다...)

답변2

nmap 스캔 감지를 학문적 연습으로 처리하시겠습니까, 아니면 실제로 포트 스캔을 수행하는 공격자를 감지하려고 하시겠습니까? 후자는 매우 어려울 수 있습니다. 공격자가 스캔 속도를 늦추거나 스캔을 여러 클라이언트에 분산시켜 구현했을 수 있는 경험적 방법을 무력화할 수 있기 때문입니다. 따라서 이것이 목표라면 "토끼굴에 빠지게" 된다는 점을 명심하시기 바랍니다 :-\

둘째, 그냥 갖고 싶나요?능력탐지 스캔 또는 기본에 관심이 있는 경우세부 사항이것이 어떻게 달성될 수 있습니까? 즉, 이 작업을 완료하려고 하는 중입니까, 아니면 해당 주제를 조사하고 있습니까?

전자의 경우 Snort 및 Bro와 같은 다양한 IDS 도구와 많은 상용 제품을 설치할 수 있습니다. 그러나 단조롭게 증가하는 TCP 포트 번호 스캔과 같은 특정 유형의 스캔만 감지할 수 있습니다.

후자의 경우, 일반적인 nmap 스캔으로 생성된 네트워크 트래픽을 이해하여 이러한 패턴을 찾고 싶다면 소수의 포트에서 nmap을 실행하고 다음을 사용하여 생성되는 트래픽을 검사하는 것이 좋습니다. 스니퍼(예: tcpdump) 그런 다음 구축 중인 모든 시스템에서 서명/규칙을 구현할 수 있습니다.

도움이 되었기를 바랍니다!

답변3

수동 운영 체제 식별자,p0f,nmap적어도 일부 유형의 스캔을 인식할 수 있습니다 . nmap간단한 핑 스캔부터 매우 특이한 스캔까지 다양한 유형의 스캔을 수행할 수 있다는 점을 명심하세요 . 질문하신 내용이 100% 가능하지 않을 수도 있습니다.

관련 정보