在專用網路中跟踪未經授權的 IP 掃描程序
我跑過一個響應,說執行 IP/埠掃描器 (fing) 可以提醒管理員。我是一個好奇的人,並且已經執行了 bajillion 惡意網路掃描而沒有任何後果,它通過找到登錄頁面的 IP 幫助我連接到網路(諷刺吧?)。
因此,作為一名入門級網路工程師,除了公共 IP 進行埠掃描外,我從未聽說過有人收到警報。但是,錯誤的觸發器一直在發生,當管理員從 1000 個其他更重要的工作返回以找出有人好奇使用已從網路中刪除的 BYOD 的前一天時,在 WireShark 上設置觸發器並不值得,在大廳中使用過,或者如果曾經是惡意的,則更改了 IP 和 MAC 地址。
為什麼、如何以及在什麼情況下,除了在特定埠上看到 DDOS 之外,埠跟踪或 IP/埠掃描程序檢測和跟踪會相關或受到監控?謝謝!
可以將用於觀察掃描流量的 IDS 或 IPS 設置為對掃描行為發出警報。根據它的調整程度,以及您執行掃描的速度或速度,它可能會或不會觸發警報。這樣的事情在公司網路中並不常見,客人wifi當然是另一回事。這可能是惡意內部人員或受損機器的症狀。
好點子。這是我將如何追踪它。我建議網路設置 NetFlow 監控。通過擷取 NetFlow,您可以滿足大多數網路的規模,同時使用最少的儲存空間。
有兩種安裝設置:從路由器或 Tap/span 埠的流量導出。我更喜歡路由器,因為您將看到網路間流量,而不僅僅是入口/出口。
我喜歡 CERT 的開源工具 SiLK,它以 RPM 形式在 CERT Forensics repo - forensics.cert.org 中提供。
典型的單伺服器安裝如下圖所示。
安裝和配置後,您將需要使用 rwfilter 查詢訪問了許多目標埠的主機。SiLK 手冊可在此處獲得:http ://tools.netsa.cert.org/silk/analysis-handbook.pdf
通過查看源 IP 和不同的目標埠可以找到掃描器。就像是 :
rwfilter --proto=0- --type=all --pass=stdout | rwstats --fields=sip,dport找到後,查找掃描主機可能去了哪裡:
rwfilter --proto=0- --type=all --pass=stdout --saddress=<SCANNERIP> | rwcut