Задать вопрос
@Sancho_Pansa

По каким признакам можно выявить сканирование портов?

По каким признакам можно выявить сканирование портов?
  • Вопрос задан
  • 403 просмотра
Подписаться 1 Простой Комментировать
Решения вопроса 1
Tkreks
@Tkreks
Системный инженер
По признаку попытки открыть соединение с разными портами за короткий промежуток времени. Т.е. допустим, к вам поступают пакеты на порты допустим с 10 по 1000 в течении одной минуты, ну этой явный перебор портов.
Вообще сейчас сканеры портов очень умные, сканируют определенные диапазоны и с определенной частотой, поэтому как правило выявить их сложно. Если вопрос в блокировке, то рекомендую вносить IP адрес в черный список, когда он пытается постучать в заведомо закрытый порт. Т.е. у вас SSH не на стандартном порту 22, а допустим на 222, если кто то стучит на 22 порт, вносим его в черный список сразу.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
По разным. SYN+ACK например явное сканирование, SYN+FIN и вообще перебор "нелепых" сочетаний флагов пакета. Если соединение не в состоянии NEW, а пришел SYN - однозначно сканирование. Вообще стоит ман по nmap почитать - там как раз описано множество техник сканирования портов, он же сканировщик :)
Ответ написан
Комментировать
@rPman
В обычной ситуации никому не нужно подключаться по не стандартным портам, поэтому сам факт такой попытки уже сигнал.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы