Sfondo
Sto lavorando su Snort Portscan Module per rilevare le scansioni Stealth. Ilnort utilizza una buona quantità di strutture dati per catturare gli eventi di scansione e impostare in modo esplicito i valori di soglia.
typedef struct s_PS_ALERT_CONF
{
short u_ip_count; //no of ip address scanning the victim
short u_port_count; //no of ports scanned on the victim
short connection_count; //no.of connection attempts by scanner
short priority_count; //no.of invalid/negative response packets
}
Snort ha tre modalità di rilevamento, cioè alta, bassa, media . Queste modalità in pratica dicono snort quanto tempo deve aspettare prima di resettare questi dati. Questi valori di tempo sono impostato esplicitamente dagli utenti
Per rilevare le scansioni invisibili, devo capire o sapere un po 'di tempo standard su quanto lentamente il bot / worm analizza la rete.
Query
Qualcuno ha idea, di quanto lentamente le scansioni stealth siano fatte da robot / worm prendendo in considerazione il compromesso tra l'efficienza della scansione dei robot e l'evasione della scansione.
Ad esempio: come una scansione all'ora o 1 scansione per due ore