--- Em [email protected], PEdroArthur_JEdi <[EMAIL PROTECTED]> escreveu > > 2008/11/21 l.calmeida <[EMAIL PROTECTED]>: > > Sim. Se você fizer um teste simples com o nmap sem parâmetros,e > > capturar os pacotes com o wireshark irá verificar. > > Então deve haver algo errado com o alvo. Esse comportamento foge ao > definido na RFC 793. O correto seria RST+ACK. >
Puts cara... me confundi aqui. realmente o pacote vem com os flags RST+ACK (ponto pra você :p) > > Não. não usei o sfPortScan, apenas dei uma lida sobre a solução. > > Então foi mal, pensei que o mail fosse seu mas vi lá que a thread era > sua mas o cara aproveitou para postar uma dúvida. > > > PortScans podem até não ser considerados ataques, mas sim um indício > > que estão tentando coletar informações da sua máquina, rede,... > > Pois é, esse é um assunto complicado. Do ponto de vista da prevenção > de instrusão, apenas detectar o ocorrido não é muito vantajoso pois > tal ação teria um custo computacional extra. Sendo esse custo alto ou > não, seria desperdicio pois é apenas uma detecção, e essa tarefa é > melhor qualificada para sistemas como o snort. > > Além, como dito anteriormente, um filtro de pacotes resolve o > problema, pelo menos para port scan de um único host de > origem/destino. Tipo, considere simplesmente guardar informações de > endereços e portas. Caso os IPs de origem e destino mantenham-se > constantes e as portas de destino e origem variem numa taxa > pré-definida num intervalo de tempo determinado, o tráfego pode ser > considerado portscan. Daí basta você bloquear, podendo até causar um > DoS, ou apenas fazer o LOG, o que também pode causar um DoS. E para > generalizar ataques vindo de hosts diferentes, mas de uma mesma rede, > você pode ajustar a máscara. Afinal, se vocÊ só prover serviços na > porta 80, o que fariam hosts tentando portas de números diferentes de > maneira aleatória? Isso mesmo... acho que vou tentar fazer isso pelo firewall mesmo ..Valeu pela ajuda ai =D > > -- > PEdroArthur_JEdi > > Nunca acredite num sistema que você não conhece o código fonte! > Never trust a system you don't have sources for! >
