По каким признакам можно выявить сканирование портов?

Question

[Sancho_Pansa]

По каким признакам можно выявить сканирование портов?

Answer 1

[Maksim Herasim]

По признаку попытки открыть соединение с разными портами за короткий промежуток времени. Т.е. допустим, к вам поступают пакеты на порты допустим с 10 по 1000 в течении одной минуты, ну этой явный перебор портов.
Вообще сейчас сканеры портов очень умные, сканируют определенные диапазоны и с определенной частотой, поэтому как правило выявить их сложно. Если вопрос в блокировке, то рекомендую вносить IP адрес в черный список, когда он пытается постучать в заведомо закрытый порт. Т.е. у вас SSH не на стандартном порту 22, а допустим на 222, если кто то стучит на 22 порт, вносим его в черный список сразу.

Comments

[paran0id]

Ежели линукс, можно psad поставить.

Answer 2

[CityCat4]

По разным. SYN+ACK например явное сканирование, SYN+FIN и вообще перебор "нелепых" сочетаний флагов пакета. Если соединение не в состоянии NEW, а пришел SYN - однозначно сканирование. Вообще стоит ман по nmap почитать - там как раз описано множество техник сканирования портов, он же сканировщик :)

Answer 3

[rPman]

В обычной ситуации никому не нужно подключаться по не стандартным портам, поэтому сам факт такой попытки уже сигнал.

Comments

[AUser0]

Скорее даже по закрытому стандартному порту. И тем более по закрытому не стандартному порту. А если закрытых портов несколько...

[Maksim Herasim]

AUser0, а вот представьте что вы не учли какой то из моментов, или допустим забыли что переназначили порт с 22 на 222, или 3389 на 60100. Одноразовые сканирования, не всегда могут означать сканировщик портов. Некоторые приложения могут инициировать сканирование определенных портов, хотя при этом будут работать с определенным портом который вы указали. Но это приложение легитимное и запущено с вашего устройства

[rPman]

Maksim Herasim,

Некоторые приложения могут инициировать сканирование определенных портов

приведите пример таких программ
особенно если к примеру речь идет о сервисе в интернете, у которого ожидается от силы три открытых порта http/https/ssh

[AUser0]

Maksim Herasim, сначала ответьте на вопрос "Чего хочет добиться некая программа, создавая коннекты на не открытые порты?". Если исключить port-knocking и вредоносный DDoS - смысл такого предположительного действа ну очень за гранью.