Sto leggendo un libro sulla sicurezza delle informazioni e mi trovo di fronte alla domanda:
Why may nmap stealth scans(SYN) attract more attention than simple connect scans(TCP connect())?
Perché potrebbe essere?
Sto leggendo un libro sulla sicurezza delle informazioni e mi trovo di fronte alla domanda:
Why may nmap stealth scans(SYN) attract more attention than simple connect scans(TCP connect())?
Perché potrebbe essere?
Nmap, come qualsiasi strumento avversario, può essere impresso da Intrusion Detection Systems (IDS). In quanto tale, qualsiasi tecnica di Nmap viene generalmente classificata come un attacco da parte di questi strumenti moderni - in particolare le tecnologie del firewall di nuova generazione (NGFW) o gli equivalenti all'avanguardia di NGFW.
Inoltre, i centri di condivisione delle informazioni (ISAC) condividono gli indicatori CTI (Cyber Threat Intelligence) (spesso indicati come indicatori di compromesso o IoC) che coinvolgono entrambi
A quale libro ti stai riferendo? Dato il contesto, sembra che l'autore stia discutendo su come le scansioni SYN siano potenzialmente più rumorose su una rete rispetto alle scansioni TCP connect (). Questo perché la scansione SYN non completa il completo handshake TCP . Ancora una volta, le tecniche difensive IDS / IPS, UTM, NGFW e CTI rileveranno la scansione SYN, proprio come molti altri metodi Nmap e molti altri strumenti e tecniche di test di penetrazione della rete.
Una scansione invisibile non attirerebbe necessariamente più attenzione di una scansione connessa, ma l'intero punto di una scansione invisibile è di attirare meno.
Ciò che questo libro potrebbe implicare è che una scansione invisibile è più preoccupante di una scansione connessa. Le scansioni di connessione possono essere utilizzate per ottenere semplicemente informazioni su ciò che è online, non cercano di nascondere ciò che stanno facendo. Un sistema IDS / IPS dovrebbe prenderne uno subito. Se un utente malintenzionato sta eseguendo una scansione di connessione, probabilmente è meno sofisticato / esperto e quindi meno pericoloso. Se qualcuno sta eseguendo una scansione invisibile, è molto più probabile che sappia cosa sta facendo e sia più difficile da rilevare.
Leggi altre domande sui tag ports nmap network-scanners