Perché una scansione invisibile attira più attenzione di una scansione di connessione?

5

Sto leggendo un libro sulla sicurezza delle informazioni e mi trovo di fronte alla domanda:

Why may nmap stealth scans(SYN) attract more attention than simple connect scans(TCP connect())?

Perché potrebbe essere?

    
posta sereGkaluv 23.02.2015 - 16:58
fonte

2 risposte

10

Nmap, come qualsiasi strumento avversario, può essere impresso da Intrusion Detection Systems (IDS). In quanto tale, qualsiasi tecnica di Nmap viene generalmente classificata come un attacco da parte di questi strumenti moderni - in particolare le tecnologie del firewall di nuova generazione (NGFW) o gli equivalenti all'avanguardia di NGFW.

Inoltre, i centri di condivisione delle informazioni (ISAC) condividono gli indicatori CTI (Cyber Threat Intelligence) (spesso indicati come indicatori di compromesso o IoC) che coinvolgono entrambi

  1. Indirizzi IP che il traffico degli utenti malintenzionati originali, come Nmap, e quindi sarebbero bloccati o rilevati da un'organizzazione che ha un team CTI, consuma feed CTI o ha prodotti o servizi che includono un elemento CTI
  2. Le firme del traffico di rete, come Snort (NB, Snort, sono molto popolari, open source IDS), che contengono informazioni su come funziona Nmap, in particolare le scansioni "furtive" di Nmap, ad es. NULL, FIN, ACK , Finestra, SYN, et al

A quale libro ti stai riferendo? Dato il contesto, sembra che l'autore stia discutendo su come le scansioni SYN siano potenzialmente più rumorose su una rete rispetto alle scansioni TCP connect (). Questo perché la scansione SYN non completa il completo handshake TCP . Ancora una volta, le tecniche difensive IDS / IPS, UTM, NGFW e CTI rileveranno la scansione SYN, proprio come molti altri metodi Nmap e molti altri strumenti e tecniche di test di penetrazione della rete.

    
risposta data 23.02.2015 - 18:26
fonte
0

Una scansione invisibile non attirerebbe necessariamente più attenzione di una scansione connessa, ma l'intero punto di una scansione invisibile è di attirare meno.

Ciò che questo libro potrebbe implicare è che una scansione invisibile è più preoccupante di una scansione connessa. Le scansioni di connessione possono essere utilizzate per ottenere semplicemente informazioni su ciò che è online, non cercano di nascondere ciò che stanno facendo. Un sistema IDS / IPS dovrebbe prenderne uno subito. Se un utente malintenzionato sta eseguendo una scansione di connessione, probabilmente è meno sofisticato / esperto e quindi meno pericoloso. Se qualcuno sta eseguendo una scansione invisibile, è molto più probabile che sappia cosa sta facendo e sia più difficile da rilevare.

    
risposta data 23.02.2015 - 18:37
fonte

Leggi altre domande sui tag