Qual é a maneira mais eficaz de detectar as varreduras do nmap?

Question

Qual é a maneira mais eficaz de detectar as varreduras do nmap?

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

4

Como o título diz, estou interessado em detectar quaisquer varreduras do nmap direcionadas a um host (do meu) GNU / Linux. Eu gostaria de usar snort em combinação com barnyard2 e snorby para isso, ou se possível executar uma detecção baseada em assinatura em logs snort unified2. Percebi que um pacote semelhante ao seguinte aparece ao executar um scan nmap -A:

[    0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00  ................
[   16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45  E...\[email protected]
[   32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75  .'..Priority Cou
[   48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E  nt: 9.Connection
[   64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75   Count: 8.IP Cou
[   80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50  nt: 2.Scanner IP
[   96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37   Range: 84.242.7
[  112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E  6.66:185.30.166.
[  128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F  69.Port/Proto Co
[  144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F  unt: 10.Port/Pro
[  160] 74 6F                                            to

Qual é o pacote acima? Tem a ver apenas com o nmap? (Eu duvido que)

Infelizmente, o snort configurado com sfPortscan não é tão eficaz e / ou preciso quanto eu quero que seja (as varreduras são detectadas, mas devido a algum motivo, não consigo ver detalhes sobre isso, como origem / destino :: link , link . Eu tenho o iptables configurado com --hitcount e --seconds, o que faz com que a "stream5: Redefinir janela externa" seja exibida, assim, posso detectar algumas varreduras.).

Quais são minhas opções aqui?

Obrigado pelo seu tempo.

networking nmap snort

por niemal010 07.11.2014 / 23:04

3 respostas

1

Você deseja detectar um exame nmap como um exercício acadêmico ou está realmente tentando detectar invasores que estão realizando uma varredura de porta? O último pode ser extremamente difícil, pois um invasor pode diminuir a velocidade da varredura e / ou distribuir a varredura por vários clientes, a fim de invalidar qualquer heurística que você possa implementar. Então, esteja ciente de que se este é o seu objetivo, você está "descendo a toca do coelho": - \

Em segundo lugar, você está simplesmente interessado em ter a capacidade de detectar uma varredura ou está interessado nos detalhes subjacentes de como isso pode ser realizado? Em outras palavras, você quer apenas fazer isso ou está estudando esse assunto?

Para o primeiro, existem várias ferramentas de IDS que você pode instalar, como Snort e Bro, além de várias ofertas comerciais. Entenda, no entanto, que eles provavelmente só serão capazes de detectar certos tipos de varreduras, como, por exemplo, uma varredura de números de porta TCP que aumentam de maneira monótona.

Para o último, se você quiser entender qual tráfego de rede é gerado por varreduras típicas do nmap para que possa procurar esses padrões, sugiro executar o nmap - talvez em um pequeno número de portas - e examinar o tráfego Ele gera usando um sniffer como o tcpdump. Você pode então implementar assinaturas / regras dentro de qualquer sistema que esteja construindo.

Espero que isso ajude!

por 08.11.2014 / 06:19

0

O identificador do sistema operacional passivo, p0f, pode identificar nmap scans, pelo menos de alguns tipos. Tenha em mente que nmap pode fazer muitos tipos diferentes de varreduras, desde simples varreduras de ping até muito exóticas. O que você está pedindo pode não ser 100% possível.

por 08.11.2014 / 05:19

Tags networking nmap snort

set limite de conexão via iptables comando para obter o nome de diretório mais importante em arquivos compactados

score 2 · Accepted Answer

Você observou o conjunto de regras de ameaças emergentes? Especificamente, suas regras de verificação ?

Você nunca detectará varreduras de detecção com 100% de precisão. De um modo geral, o limiar é útil. Em firewalls de borda em uma rede grande, eu vejo, por exemplo, número de hosts distintos contatados por um host remoto em um determinado período. Em um único host, o número de portas distintas nesse host em um determinado período. Na frente do iptables, uma boa opção é registrar os pacotes DROP. Você poderia fazer isso no snort também. A idéia básica é apenas monitorar algumas portas que você não tem abertas. O contato nessas portas é, por definição, não solicitado. (Ok, então isso se desvia um pouquinho da meta de apenas detectar verificações do nmap ...)