Campo Snort, Portscans y rango de IP escaneado

Question

Creo que te estás obsesionando demasiado con la terminología de conexión TCP y cómo se relaciona con lo que Snort quiere decir con origen y destino.

Si bien Snort tiene la capacidad de conservar cierta información de estado para una inspección detallada (llamada flowbits), las firmas se procesan en paquetes individuales. Esto significa que el origen y el destino no se asignan al cliente y al servidor, sino que se asignan directamente a los campos de dirección de origen y destino en el encabezado IP. Eso significa que el paquete específico que provocó que se activara esta regla tenía 10.19.0.5 en el campo de dirección de destino y 136.238.4.165 en el campo de dirección de origen. Estamos hablando de un solo paquete aquí, no tiene nada que ver con quién inició la sesión.

También tenga en cuenta cómo funciona el preprocesador sfPortscan. Su algoritmo de detección realmente solo compara 3 patrones:

Tráfico TCP/UDP donde un host habla con un host y llega a muchos puertos
Tráfico TCP/UDP donde muchos hosts hablan con un host y llegan a muchos puertos
Tráfico TCP/UDP/ICMP donde un host habla con muchos hosts en un solo puerto

En gran parte debido al número 3, esta alerta puede ser activada por casi cualquier sistema que realmente esté brindando un servicio. Por alguna razón, los servidores de archivos SMB de Windows parecen ser los peores infractores de falsos positivos. Esto hace que el preprocesador sfPortscan sea excepcionalmente ruidoso. De hecho, es tan ruidoso que, a menos que tenga una red muy restringida y tenga la experiencia para ajustar significativamente la salida, casi ni siquiera vale la pena habilitar este preprocesador.

Answer 1

Creo que te estás obsesionando demasiado con la terminología de conexión TCP y cómo se relaciona con lo que Snort quiere decir con origen y destino.

Si bien Snort tiene la capacidad de conservar cierta información de estado para una inspección detallada (llamada flowbits), las firmas se procesan en paquetes individuales. Esto significa que el origen y el destino no se asignan al cliente y al servidor, sino que se asignan directamente a los campos de dirección de origen y destino en el encabezado IP. Eso significa que el paquete específico que provocó que se activara esta regla tenía 10.19.0.5 en el campo de dirección de destino y 136.238.4.165 en el campo de dirección de origen. Estamos hablando de un solo paquete aquí, no tiene nada que ver con quién inició la sesión.

También tenga en cuenta cómo funciona el preprocesador sfPortscan. Su algoritmo de detección realmente solo compara 3 patrones:

Tráfico TCP/UDP donde un host habla con un host y llega a muchos puertos
Tráfico TCP/UDP donde muchos hosts hablan con un host y llegan a muchos puertos
Tráfico TCP/UDP/ICMP donde un host habla con muchos hosts en un solo puerto

En gran parte debido al número 3, esta alerta puede ser activada por casi cualquier sistema que realmente esté brindando un servicio. Por alguna razón, los servidores de archivos SMB de Windows parecen ser los peores infractores de falsos positivos. Esto hace que el preprocesador sfPortscan sea excepcionalmente ruidoso. De hecho, es tan ruidoso que, a menos que tenga una red muy restringida y tenga la experiencia para ajustar significativamente la salida, casi ni siquiera vale la pena habilitar este preprocesador.

Campo Snort, Portscans y rango de IP escaneado

Respuesta1

información relacionada