Виявлення факту сканування портів

У СОА Snort вбудований програмний модуль, що дозволяє виявляти сканування портів захищається системи Алгоритм, який виявляє ска-нирование, заснований на тому, що при скануванні портів істотно повели-чивается кількість вихідних TCP-пакетів з встановленим прапором RST Установка цього прапора на отправляемом у відповідь пакеті означає, що порт, до якого вироблялося звернення, закритий Таким чином, аналізуючи кіль-кість пакетів з встановленим прапором RST, можна виявити факт ска-нування портів системи

Програмний модуль, або препроцесор, як його називають разработчі-

ки Snort, инициализируется з файлу конфігурації такий спосіб У

конфігураційний файл слід додати наступні рядки:

preprocessor flow: stats_interval 0 hash 2

preprocessor sfportscan: proto {<протокол> } Scan_type

{<Тіп_сканірованія> } Sense_level

{<Чутливість> } Logfile {<файл_с_отчетом> }

Перший рядок призначена для ініціалізації препроцесора Flow, без якого модуль виявлення сканування не працює Другий рядок инициализирует препроцесор sfPortscan, при цьому задаються наступні па-раметри (жирним шрифтом показані рекомендовані значення):

<Протокол> – Аналізований протокол (tcp, udp, icmp, ip_proto,

all)

<Тіп_сканірованія> – Виявляються типи сканування (portscan,

portsweep, decoy_portscan, distributed_portscan, all)

<Чутливість> – Чутливість (low, medium, high)

<Файл_с_отчетом> – Імя файлу, в який буде поміщений звіт про обготівковув-

Ружену спробах сканування портів

Файл із звітом буде розташовуватися в каталозі, вказаному параметром

-C при запуску Snort Чутливість визначає перелік інформації, що аналізується і в підсумку позначається на ймовірності «помилкової тривоги» (для high вона найбільша) За більш детальною інформацією про параметри модуля sfPortscan слід звертатися до документації на Snort

Наведемо приклад налаштування модуля sfPortscan:

preprocessor flow: stats_interval 0 hash 2

preprocessor sfportscan: proto { all } scan_type { all }

sense_level { medium } logfile { portscanlog }

При даній настройці Snort виявлятиме всі описані в розділі 2 методи сканування портів Необхідно відзначити, що дві і більше проце-дурки сканування портів, виконані під час одного сеансу роботи Snort, будуть відображені у файлі реєстрації подій тільки один раз Це ос-шається справедливим навіть у тому випадку, коли використовуються різні методи сканування Таким чином, для повірки можливості виявлення скані-вання, виконуваного різними методами, Snort необхідно закривати і за-пускати знову

ВИКОНАТИ

8 Доповнити файл «myconf» наведеними вище рядками для настройки препроцесора sfPortscan З використанням утиліти nmap перевірити, чи відбувається виявлення спроб сканування портів захищається вузла Використовувати наступні команди для запуску сканування:

nmap -V-sT-p <діапазон_портов> для сканування методом з повним циклом підключення (метод Connect) nmap -V-sS-p <діапазон_портов> для сканування з неповним циклом підключення (метод SYN)

nmap -V-sN-p <діапазон_портов> для сканування за допомогою TCP-пакета зі скинутими прапорами (метод NULL)

nmap -V-sX-p <діапазон_портов> для сканування за допомогою TCP-пакета з усіма встановленими прапорами (метод XMAS)

9 Які методи сканування дозволяють практично виявляти наявність від-критих портів Як це залежить від операційної системи Чи всі зазначені методи сканування виявляє СОА Snort

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*