Хочу анализировать все порты на предмет сканирования. Чем и как собирать статистику?

Question

[Константин]

Имеется debian 12.
Хочу анализировать все порты на предмет сканирования.
Минималка для анализа:
- порт сканирования
- протокол (tcp/udp/...)
- количество пакетов/байт на данных порт

Дополнительно хотелось бы:
- ip адрес источника
- время получения пакета

Чем и как собирать статистику?

Comments

[Дмитрий]

Ну тем же (nf|ip)tables логируйте unrelated для udp, new для tcp и invalid для остальных. Это будет наиболее приближено к трафику сканеров, но как вы собрались именно сканеры в этом мусоре искать, я не представляю.

[Константин]

Дмитрий, а NEW состояние пакета для UDP разве не такое же как и для tcp?

[Дмитрий]

Константин, да, верно, это я чушь написал. Там примерно то же самое всё, кроме таймаутов контрака.

Ну как вариант, просто помещать частые коннекты с одного адреса в отдельную цепочку, там логировать уже. Но эвристик, которые задетектят сканер, слишком много может быть.

Ещё по burst rate внезапному на разные порты можно видеть, если сканер ботнетовый. Но умные сканеры давно уже научились лениво сканить, а не душить на все деньги.

Слишком неоднозначная задача, как мне кажется.

[Константин]

Дмитрий,

просто помещать частые коннекты с одного адреса

Вот чтобы это сделать, надо сначала выяснить с каких ip поступают конекты на закрытые порты. А для этого нужна автоматизированная статистика. В чём и вопрос :)

[Дмитрий]

Константин, а почему именно на закрытые? открытые порты тоже сканируют =)

[Константин]

Дмитрий, у меня чисто статистический интерес, хочу понять какие порты сканируют чаще, а их всего 65535.
А только потом уже практический.

[Saboteur]

Константин, чисто статистически проще погуглить известные сканеры портов, что они там сканируют.

Естественно 21, 22, 25, 80, 443 и что-то в районе 2200, 8080

[calculator212]

Константин, tcpdump можно использовать, записывать трафик и анализировать его

[Константин]

calculator212, как анализировать именно? в этом весь и вопрос

[mayton2019]

Константин, это преподаватель тебе задал такое?
Статистика сканирование портов - обще-известна. Это обычно порты
http, https, ssh, ftp, pop3, imap, dns, LDAP, smb, и отдельно
порты Windows-систем такие как RDP, популярные DBMS
(MySQL, Postgresql) кеши (Redis) и клиенты торрентов.

Их списки часто публикуют на сайтах инфо-безопасности.

Сильно сомневаюсь что ты соберешь какую-то интересную информацию
которую можно обобщать. Или тебе надо собирать не на одном хосте а на сотне
и в разных странах. Тогда если складывать логи сканов в биг-дату можно
сделать какие-то исследования и понять тренды.

[Константин]

mayton2019, нет это моя ициатива на моём собственном впс.
Просто решил начать анализировать сканы.

[sazhyk]

calculator212

tcpdump можно использовать, записывать трафик и анализировать его

В этом случае я бы порекомендовал pcapdump. Он как раз под это заточен.