Snort, Portscans und gescanntes IP-Bereichsfeld

Question

Ich glaube, Sie versteifen sich zu sehr auf die TCP-Verbindungsterminologie und deren Zusammenhang mit dem, was Snort unter Quelle und Ziel versteht.

Obwohl Snort einige Statusinformationen für die Stateful Inspection (sogenannte Flowbits) speichern kann, werden die Signaturen anhand einzelner Pakete verarbeitet. Dies bedeutet, dass Quelle und Ziel nicht Client und Server zugeordnet werden, sondern direkt den Quell- und Zieladressfeldern im IP-Header. Das bedeutet, dass das spezifische Paket, das diese Regel ausgelöst hat, 10.19.0.5 im Zieladressfeld und 136.238.4.165 im Quelladressfeld hatte. Wir sprechen hier von einem einzelnen Paket, es hat nichts damit zu tun, wer die Sitzung initiiert hat.

Bedenken Sie auch, wie der Präprozessor sfPortscan funktioniert. Sein Erkennungsalgorithmus prüft eigentlich nur anhand von 3 Mustern:

TCP/UDP-Verkehr, bei dem ein Host mit einem Host kommuniziert und viele Ports erreicht
TCP/UDP-Verkehr, bei dem viele Hosts mit einem Host kommunizieren und viele Ports erreichen
TCP/UDP/ICMP-Verkehr, bei dem ein Host über einen einzigen Port mit mehreren Hosts kommuniziert

Hauptsächlich wegen Punkt 3 kann dieser Alarm von praktisch jedem System ausgelöst werden, das tatsächlich einen Dienst bereitstellt. Aus irgendeinem Grund scheinen Windows SMB-Dateiserver die schlimmsten Übeltäter bei Fehlalarmen zu sein. Dies macht den sfPortscan-Präprozessor außergewöhnlich laut. Tatsächlich so laut, dass es sich fast nicht lohnt, diesen Präprozessor zu aktivieren, es sei denn, Sie haben ein stark eingeschränktes Netzwerk und das Fachwissen, um die Ausgabe erheblich zu optimieren.

Answer 1

Ich glaube, Sie versteifen sich zu sehr auf die TCP-Verbindungsterminologie und deren Zusammenhang mit dem, was Snort unter Quelle und Ziel versteht.

Obwohl Snort einige Statusinformationen für die Stateful Inspection (sogenannte Flowbits) speichern kann, werden die Signaturen anhand einzelner Pakete verarbeitet. Dies bedeutet, dass Quelle und Ziel nicht Client und Server zugeordnet werden, sondern direkt den Quell- und Zieladressfeldern im IP-Header. Das bedeutet, dass das spezifische Paket, das diese Regel ausgelöst hat, 10.19.0.5 im Zieladressfeld und 136.238.4.165 im Quelladressfeld hatte. Wir sprechen hier von einem einzelnen Paket, es hat nichts damit zu tun, wer die Sitzung initiiert hat.

Bedenken Sie auch, wie der Präprozessor sfPortscan funktioniert. Sein Erkennungsalgorithmus prüft eigentlich nur anhand von 3 Mustern:

TCP/UDP-Verkehr, bei dem ein Host mit einem Host kommuniziert und viele Ports erreicht
TCP/UDP-Verkehr, bei dem viele Hosts mit einem Host kommunizieren und viele Ports erreichen
TCP/UDP/ICMP-Verkehr, bei dem ein Host über einen einzigen Port mit mehreren Hosts kommuniziert

Hauptsächlich wegen Punkt 3 kann dieser Alarm von praktisch jedem System ausgelöst werden, das tatsächlich einen Dienst bereitstellt. Aus irgendeinem Grund scheinen Windows SMB-Dateiserver die schlimmsten Übeltäter bei Fehlalarmen zu sein. Dies macht den sfPortscan-Präprozessor außergewöhnlich laut. Tatsächlich so laut, dass es sich fast nicht lohnt, diesen Präprozessor zu aktivieren, es sei denn, Sie haben ein stark eingeschränktes Netzwerk und das Fachwissen, um die Ausgabe erheblich zu optimieren.

Snort, Portscans und gescanntes IP-Bereichsfeld

Antwort1

verwandte Informationen