Поле Snort, Portscans и Scanned IP Range

Question

Мне кажется, вы слишком зацикливаетесь на терминологии TCP-соединения и на том, как она соотносится с тем, что Snort подразумевает под источником и местом назначения.

Хотя Snort имеет возможность сохранять некоторую информацию о состоянии для проверки состояния (называемую flowbits), сигнатуры обрабатываются по отдельным пакетам. Это означает, что источник и пункт назначения не сопоставляются с клиентом и сервером, они сопоставляются непосредственно с полями адреса источника и пункта назначения в заголовке IP. Таким образом, это означает, что конкретный пакет, который вызвал срабатывание этого правила, имел 10.19.0.5 в поле адреса назначения и 136.238.4.165 в поле адреса источника. Мы говорим об одном пакете, это не имеет никакого отношения к тому, кто инициировал сеанс.

Также имейте в виду, как работает препроцессор sfPortscan. Его алгоритм обнаружения на самом деле просто проверяет по 3 шаблонам:

Трафик TCP/UDP, при котором один хост взаимодействует с другим хостом и затрагивает множество портов
Трафик TCP/UDP, когда множество хостов взаимодействуют с одним хостом и попадают на множество портов
Трафик TCP/UDP/ICMP, где один хост взаимодействует со многими хостами через один порт

Во многом из-за #3 это оповещение может быть вызвано практически любой системой, которая фактически предоставляет услугу. По какой-то причине файловые серверы Windows SMB, похоже, являются худшими нарушителями ложных срабатываний. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумным, что если у вас нет жестко ограниченной сети и нет опыта для существенной настройки вывода, то включать этот препроцессор почти не стоит.

Answer 1

Мне кажется, вы слишком зацикливаетесь на терминологии TCP-соединения и на том, как она соотносится с тем, что Snort подразумевает под источником и местом назначения.

Хотя Snort имеет возможность сохранять некоторую информацию о состоянии для проверки состояния (называемую flowbits), сигнатуры обрабатываются по отдельным пакетам. Это означает, что источник и пункт назначения не сопоставляются с клиентом и сервером, они сопоставляются непосредственно с полями адреса источника и пункта назначения в заголовке IP. Таким образом, это означает, что конкретный пакет, который вызвал срабатывание этого правила, имел 10.19.0.5 в поле адреса назначения и 136.238.4.165 в поле адреса источника. Мы говорим об одном пакете, это не имеет никакого отношения к тому, кто инициировал сеанс.

Также имейте в виду, как работает препроцессор sfPortscan. Его алгоритм обнаружения на самом деле просто проверяет по 3 шаблонам:

Трафик TCP/UDP, при котором один хост взаимодействует с другим хостом и затрагивает множество портов
Трафик TCP/UDP, когда множество хостов взаимодействуют с одним хостом и попадают на множество портов
Трафик TCP/UDP/ICMP, где один хост взаимодействует со многими хостами через один порт

Во многом из-за #3 это оповещение может быть вызвано практически любой системой, которая фактически предоставляет услугу. По какой-то причине файловые серверы Windows SMB, похоже, являются худшими нарушителями ложных срабатываний. Это делает препроцессор sfPortscan исключительно шумным. Настолько шумным, что если у вас нет жестко ограниченной сети и нет опыта для существенной настройки вывода, то включать этот препроцессор почти не стоит.

Поле Snort, Portscans и Scanned IP Range

решение1

Связанный контент