2008/11/21 l.calmeida <[EMAIL PROTECTED]>: > Sim. Se você fizer um teste simples com o nmap sem parâmetros,e > capturar os pacotes com o wireshark irá verificar.
Então deve haver algo errado com o alvo. Esse comportamento foge ao definido na RFC 793. O correto seria RST+ACK. > Não. não usei o sfPortScan, apenas dei uma lida sobre a solução. Então foi mal, pensei que o mail fosse seu mas vi lá que a thread era sua mas o cara aproveitou para postar uma dúvida. > PortScans podem até não ser considerados ataques, mas sim um indício > que estão tentando coletar informações da sua máquina, rede,... Pois é, esse é um assunto complicado. Do ponto de vista da prevenção de instrusão, apenas detectar o ocorrido não é muito vantajoso pois tal ação teria um custo computacional extra. Sendo esse custo alto ou não, seria desperdicio pois é apenas uma detecção, e essa tarefa é melhor qualificada para sistemas como o snort. Além, como dito anteriormente, um filtro de pacotes resolve o problema, pelo menos para port scan de um único host de origem/destino. Tipo, considere simplesmente guardar informações de endereços e portas. Caso os IPs de origem e destino mantenham-se constantes e as portas de destino e origem variem numa taxa pré-definida num intervalo de tempo determinado, o tráfego pode ser considerado portscan. Daí basta você bloquear, podendo até causar um DoS, ou apenas fazer o LOG, o que também pode causar um DoS. E para generalizar ataques vindo de hosts diferentes, mas de uma mesma rede, você pode ajustar a máscara. Afinal, se vocÊ só prover serviços na porta 80, o que fariam hosts tentando portas de números diferentes de maneira aleatória? -- PEdroArthur_JEdi Nunca acredite num sistema que você não conhece o código fonte! Never trust a system you don't have sources for!
