Determinare se il sistema o la rete sono stati scansionati con uno scanner di vulnerabilità o di rete

0

Ovunque leggo è necessario fare attenzione con gli scanner di rete e gli scanner di vulnerabilità dovrebbero essere utilizzati solo in ricognizione attiva in quanto gli scanner tendono a essere rumorosi.

In che modo un amministratore di rete o un tecnico della sicurezza può determinare se uno di questi scanner è stato utilizzato? Potrebbe essere determinato utilizzando i file di registro o programmi come gli analizzatori di pacchetti?

Ho provato a cercare, ma ho avuto difficoltà a trovare qualcosa su questo. Per lo più tutto ciò che riesco a trovare è la realizzazione di tali scansioni.

    
posta Gavin Youker 01.12.2016 - 07:37
fonte

1 risposta

1

Puoi rilevarli con Sistemi di rilevamento delle intrusioni se la rete è sottoposta a scansione.

Se si tratta di un server Web, puoi consultare il registro di accesso e grep per gli errori.

Esempio IDS è Snort. Può essere eseguito passivamente leggendo i pacchetti inoltrati dallo switch (switch port mirroring) oppure può essere di fronte alla rete (funge da router).

Per la sperimentazione, Snort può essere installato sul server stesso sebbene questo non sia raccomandato

    
risposta data 01.12.2016 - 07:50
fonte

Leggi altre domande sui tag