根据 manual.snort.org,TCP 端口扫描从一台计算机发送到另一台计算机,但是当您查看 snort/snorby 中的 tcp 端口扫描警报时,您会看到以下内容:
一手:来源:136.238.4.165 目的地:10.19.0.5
另一方面:Priority.Count:.5.Connection.Count:.18.IP.Count:.1。扫描仪.IP.范围:.10.10.28.88:136.238.78.44.端口/协议计数:.6.端口/协议范围:.199:58891。
因此,一方面,我们有源和目标字段,表明从 136.238.4.165 扫描了机器 10.19.0.5。另一方面,扫描仪 IP 范围表明从 10.10.28.88 到 136.238.78.44 正在扫描 10.19.0.5
我该如何理解这些信息?哪个设备启动了扫描?
答案1
我认为您过于纠结于 TCP 连接术语以及它与 Snort 所指的源和目标的关系。
虽然 Snort 确实有能力保留一些状态信息以进行状态检查(称为流位),但签名是针对单个数据包进行处理的。这意味着源和目标不映射到客户端和服务器,而是直接映射到 IP 标头中的源和目标地址字段。因此,这意味着导致此规则触发的特定数据包在目标地址字段中有 10.19.0.5,在源地址字段中有 136.238.4.165。我们在这里谈论的是单个数据包,它与谁发起了会话无关。
还要记住 sfPortscan 预处理器的工作原理。它的检测算法实际上只是针对 3 种模式进行检查:
- TCP/UDP 流量,其中一个主机与另一个主机通信并访问多个端口
- TCP/UDP 流量,其中多台主机与一台主机通信并访问多个端口
- TCP/UDP/ICMP 流量,其中一个主机通过单个端口与多个主机通信
很大程度上是因为第 3 条,几乎任何实际提供服务的系统都可以触发此警报。出于某种原因,Windows SMB 文件服务器似乎是误报最严重的罪魁祸首。这使得 sfPortscan 预处理器异常嘈杂。事实上,除非您的网络受到严格限制,并且具备显著调整输出的专业知识,否则启用此预处理器几乎是不值得的。