根據 Manual.snort.org,TCP 連接埠掃描從一台計算機傳輸到另一台計算機,但是當您查看 snort/snorby 中的 tcp 連接埠掃描警報時,您可以看到以下內容:
一方面:資料來源:136.238.4.165 目標:10.19.0.5
另一方面:Priority.Count:.5.Connection.Count:.18.IP.Count:.1。掃描器IP範圍:.10.10.28.88:136.238.78.44.連接埠/協定計數:.6.連接埠/協定範圍:.199:58891。
因此,一方面我們有源字段和目標字段,這表明機器 10.19.0.5 是從 136.238.4.165 掃描的。另一方面,掃描器 IP 範圍表示從 10.10.28.88 到 136.238.78.44 正在掃描到 10.19.0.5
我應該如何理解這些資訊?哪個設備開始掃描?
答案1
我認為您太專注於 TCP 連接術語以及它與 Snort 的來源和目標含義之間的關係。
雖然 Snort 確實能夠保留一些狀態資訊以進行狀態檢查(稱為流位),但簽章是針對各個資料包進行處理的。這意味著來源和目標不會對應到客戶端和伺服器,它們直接對應到 IP 標頭中的來源和目標位址欄位。因此,這意味著導致此規則觸發的特定封包的目標位址欄位為 10.19.0.5,來源位址欄位為 136.238.4.165。我們在這裡討論的是單一資料包,它與發起會話的人無關。
也要記住 sfPortscan 預處理器的工作原理。它的檢測演算法實際上只檢查 3 種模式:
- TCP/UDP 流量,其中一台主機與一台主機通訊並存取多個連接埠
- TCP/UDP 流量,其中許多主機與一台主機通訊並存取許多連接埠
- TCP/UDP/ICMP 流量,其中一台主機在單一連接埠上與多台主機通訊
很大程度是因為#3,這個警報幾乎可以由任何實際提供服務的系統觸發。由於某種原因,Windows SMB 檔案伺服器似乎是誤報最嚴重的來源。這使得 sfPortscan 預處理器異常雜訊。事實上,噪音如此之大,除非您擁有嚴格限制的網絡,並且擁有顯著調整輸出的專業知識,否則幾乎不值得啟用此預處理器。