--- Em [email protected], "pedroarthur.jedi" <[EMAIL PROTECTED]> escreveu > > --- Em [email protected], "l.calmeida" <l.calmeida@> escreveu > > Fiz alguns estudos sobre portscan com o nmap. executei uma varredura > > de portas em uma determinada máquina e capturei o tráfego gerado... > > > > Pontos à serem observados: > > > > -O nmap envia pacotes TCP(SYN) para algumas(0-1023 + algumas exceções) > > portas do alvo; > > -O alvo responde pacotes TCP(RST,SYN) nas portas onde não "existem" > > serviços rodando; > > RST+SYN? Certeza?
Sim. Se você fizer um teste simples com o nmap sem parâmetros,e capturar os pacotes com o wireshark irá verificar. > > > -O alvo responde pacotes TCP(SYN,ACK) nas portas onde existem serviços > > executando; > > Esse é só um dos tipos de scan... Concordo! > > > Tipo se no HLBR existisse algum parâmetro que trabalhasse com tempo, > > ou quantidade, acho que daria certo..(aliás, existe alguma coisa > > parecida????) > > > > Vi que existem algumas soluções que conseguem detectar portscan: > > PSAD - http://cipherdyne.org/psad/ (analisa logs do iptables) > > sfPortScan - > > http://www.snort.org/docs/snort_htmanuals/htmanual_283/node72.html > > (trabalha junto com o Snort) > > > > Porém não sei se dariam certo no HLBR.. > > > > Alguém aqui já fez algo parecido com o que eu necessito? > > Vi seu e-mail na lista do Snort. Se não me engano você estava > questionando que quando usava o sfportscan, um range IP ficava > bloqueado, não foi? Não. não usei o sfPortScan, apenas dei uma lida sobre a solução. > > O HLBR não foi projetado para isso. Port Scan não são ataques, podem > até ser um indício, mas não são ataques. Além, port scan pode ser > forjado, ou se o scanner estiver atrás de um NAT, todo o range pode > ser prejudicado pela ação de uma só máquina, tal qual aconteceu com você. > PortScans podem até não ser considerados ataques, mas sim um indício que estão tentando coletar informações da sua máquina, rede,... > Sistemas de prevenção de intrusão devem ser precisos e justos, visando > elever a disponibilidade do serviço o qual ele proteje. Isso é > conseguido no HLBR através dos padrões de ataques, onde um pacote só é > bloqueado caso realmente cotenha tráfego julgado malicioso, não apenas > indícios. > > Esse comportamento que você deseja pode ser conseguido em meio ao uso > de um filtro de pacotes. >
