Snort、Portscans 和 Scanned IP Range 欄位
根據 manual.snort.org,TCP Portscans 從一台電腦傳輸到另一台電腦,但是當您查看 snort/snorby 中的 tcp portscan 警報時,您會看到:
一方面:來源:136.238.4.165 目的地:10.19.0.5
另一方面:Priority.Count:.5.Connection.Count:.18.IP.Count:.1。Scanner.IP.Range:.10.10.28.88:136.238.78.44.Port /Proto.Count:.6.Port/Proto.Range:.199:58891。
因此,一方面我們有源和目標欄位,這表示機器 10.19.0.5 是從 136.238.4.165 掃描的。另一方面,Scanner IP Range 表示從 10.10.28.88 到 136.238.78.44 正在掃描到 10.19.0.5
我應該如何理解這些資訊?哪個設備開始掃描?
我認為您對 TCP 連接術語以及它與 Snort 的源和目標含義的關係過於關注了。
雖然 Snort 確實有能力為狀態檢查(稱為流位)保留一些狀態資訊,但簽名是針對單個數據包進行處理的。這意味著源和目標不映射到客戶端和伺服器,它們直接映射到 IP 標頭中的源和目標地址欄位。這意味著導致該規則觸發的特定數據包在目標地址欄位中具有 10.19.0.5,在源地址欄位中具有 136.238.4.165。我們在這裡討論的是單個數據包,它與誰發起會話無關。
還要記住 sfPortscan 預處理器是如何工作的。它的檢測算法實際上只檢查 3 種模式:
- 一台主機與一台主機通信並訪問多個埠的 TCP/UDP 流量
- 許多主機與一台主機通信並訪問許多埠的 TCP/UDP 流量
- TCP/UDP/ICMP 流量,其中一台主機與單個埠上的多台主機通信
很大程度上由於#3,這個警報幾乎可以被任何實際提供服務的系統觸發。出於某種原因,Windows SMB 文件伺服器似乎是誤報的最嚴重違規者。這使得 sfPortscan 預處理器異常嘈雜。事實上,如此嘈雜,除非你有一個嚴格限制的網路,並且有專業知識來顯著調整輸出,否則幾乎不值得啟用這個預處理器。