manual.snort.org에 따르면 TCP 포트스캔은 한 컴퓨터에서 다른 컴퓨터로 이동하지만 snort/snorby에서 tcp portscan 경고를 살펴보면 다음을 볼 수 있습니다.
한 손에는: 소스: 136.238.4.165 대상: 10.19.0.5
반면에: Priority.Count:.5.Connection.Count:.18.IP.Count:.1.스캐너.IP.범위:.10.10.28.88:136.238.78.44.포트/프로토.수:.6.포트/프로토.범위:.199:58891.
따라서 한 손에는 소스 및 대상 필드가 있는데, 이는 시스템 10.19.0.5가 136.238.4.165에서 스캔되었음을 나타냅니다. 반면, 스캐너 IP 범위에 따르면 10.10.28.88부터 136.238.78.44까지 10.19.0.5까지 스캔하고 있었습니다.
이 정보를 어떻게 이해해야 합니까? 어떤 장치가 스캔을 시작했습니까?
답변1
내 생각엔 당신이 TCP 연결 용어와 그것이 Snort의 소스와 목적지에 의해 의미하는 것과 어떻게 연관되는지에 너무 매달리고 있다고 생각합니다.
Snort에는 상태 기반 검사(flowbits라고 함)를 위해 일부 상태 정보를 유지하는 기능이 있지만 서명은 개별 패킷에 대해 처리됩니다. 이는 소스와 대상이 클라이언트와 서버에 매핑되지 않고 IP 헤더의 소스 및 대상 주소 필드에 직접 매핑됨을 의미합니다. 이는 이 규칙을 실행하게 만든 특정 패킷의 대상 주소 필드에 10.19.0.5가 있고 소스 주소 필드에 136.238.4.165가 있음을 의미합니다. 여기서는 단일 패킷에 대해 이야기하고 있으며 누가 세션을 시작했는지와는 아무런 관련이 없습니다.
또한 sfPortscan 전처리기가 작동하는 방식을 염두에 두세요. 탐지 알고리즘은 실제로 다음 3가지 패턴을 확인합니다.
- 하나의 호스트가 하나의 호스트와 통신하고 많은 포트에 접속하는 TCP/UDP 트래픽
- 많은 호스트가 하나의 호스트와 통신하고 많은 포트에 도달하는 TCP/UDP 트래픽
- 하나의 호스트가 단일 포트의 여러 호스트와 통신하는 TCP/UDP/ICMP 트래픽
주로 #3 때문에 이 경고는 실제로 서비스를 제공하는 거의 모든 시스템에 의해 트리거될 수 있습니다. 어떤 이유로 Windows SMB 파일 서버는 오탐에 대한 최악의 범죄자인 것 같습니다. 이로 인해 sfPortscan 전처리기가 예외적으로 시끄러워집니다. 실제로 너무 시끄러워서 네트워크가 엄격하게 제한되어 있고 출력을 크게 조정할 수 있는 전문 지식이 없으면 이 전처리기를 활성화할 가치가 거의 없습니다.