端口扫描检测和预防
检测类型
以下是可阻止主机检测的端口扫描活动的类型。
-
常规端口扫描 (Regular portscan) - 一对一端口扫描,在这种扫描中,攻击者会使用主机扫描单个目标主机上的多个端口。此选项检测 TCP、UDP 和 IP 端口扫描。
-
诱骗端口扫描 (Decoy portscan) - 一对一端口扫描,在这种攻击中,攻击者将伪造的源 IP 地址与真实的扫描 IP 地址混合在一起。诱骗端口扫描选项检测 TCP、UDP 和 IP 协议端口扫描。
-
分布式端口扫描 (Distributed portscan) - 多对一端口扫描,在这种攻击中,多个主机查询单个主机是否有开放端口。这会被用于规避端口扫描检测,因为来自多个主机的所有请求可能看起来都是合法的。分布式端口扫描选项检测 TCP、UDP 和 IP 协议端口扫描。
-
端口清扫 (Port sweep) - 一对多端口清扫,在这种扫描中,攻击者使用一个或几个主机扫描多个目标主机上的单个端口。这通常发生在新的漏洞攻击中,并且攻击者正在寻找特定的服务。此选项检测 TCP、UDP、ICMP 和 IP 端口清扫。
 注 |
常规、诱骗和分布式端口扫描不属于常规端口扫描活动并且不会发出警报。 |
Traffic Selection
-
您可以为允许 (Allowed)、阻止 (Blocked) 或所有 (All) 流量选择端口扫描检测。默认情况下,所选类别中的所有流量都会接受端口扫描检测。
-
您可以指定要监控端口扫描活动的网络。在被监控的网络中,您可以避免某些主机被识别为扫描程序。
-
您还可以避免所有发往目标主机的流量接受端口扫描检测。
-
IPv4 和 IPv6 流量都支持端口扫描检测。
检测配置
以下是检测配置选项:
-
配置选项:
-
协议类型 (Protocol types):TCP、UDP、IP 和 ICMP
-
端口计数 (Port count):为基于 TCP 和 UDP 的扫描访问的端口数
-
主机计数 (Host count):为进行基于 TCP、UDP 和 ICMP 的扫描而访问的主机数量
-
协议计数 (Protocol count):用于 IP 协议扫描的协议数量
-
间隔 (Interval):时间间隔
-
-
预定义灵敏度级别 (Predefined sensitivity levels) - 您可以使用以下灵敏度级别来调整端口扫描检测:
-
低 (Low) - 只检测目标主机的否定响应。选择此级别的灵敏度可抑制误报,但请记住,这样可能会遗漏某些类型的端口扫描(慢速扫描、过滤扫描)。
此级别使用最短的时间窗口进行端口扫描检测。
-
中 (Medium) - 根据主机的连接数量检测端口扫描,因此可以检测过滤的端口扫描。但是,非常活跃的主机(例如网络地址转换器和代理)可能会生成误报。
默认情况下,灵敏度级别会被设为中 (Medium)。
此级别使用较长的时间窗口进行端口扫描检测。
-
高 (High) - 根据时间窗口检测端口扫描,这意味着,可以检测基于时间的端口扫描。此级别使用更长的时间周期进行端口扫描检测。
-
自定义 (Custom) - 用于自定义灵敏度级别。如果编辑现有的预配置灵敏度级别,则会自动选择自定义 (Custom) 选项。
-
-
您可以微调阈值,也可以启用或禁用不同类型的扫描。
阻止配置
以下是配置防御的相关选项:
-
您可以选择阻止已确定为正在执行端口扫描活动的主机。
-
基于持续时间的阻止,并在持续时间到期后自动取消阻止主机。
-
您可以避免主机因端口扫描活动而被阻止。
有关配置端口扫描检测和防御的详细信息,请参阅配置端口扫描检测和预防。
)
反馈