Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
34-4
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
端口扫描检测器所了解的关于探针的信息主要是基于查看探测主机的否定响应。例如,当网络客
户端尝试连接到网络服务器时,客户端会使用端口 80/tcp 且可以依靠服务器将该端口打开。但
是,当攻击者探测服务器时,攻击者事先并不知道该服务器是否提供网络 服务。当端口扫描检测
器看到否定响应 (即,无法到达 ICMP 或 TCP RST 数据包)时,它会将响应记录为潜在的端口
扫描。当目标主机位于设备 (例如,过滤否定响应的防火墙或路由器)的另一端,这个过程更难
以执行。在这种情况下,端口扫描检测器可以根据选择的灵敏度级别生成
户端尝试连接到网络服务器时,客户端会使用端口 80/tcp 且可以依靠服务器将该端口打开。但
是,当攻击者探测服务器时,攻击者事先并不知道该服务器是否提供网络 服务。当端口扫描检测
器看到否定响应 (即,无法到达 ICMP 或 TCP RST 数据包)时,它会将响应记录为潜在的端口
扫描。当目标主机位于设备 (例如,过滤否定响应的防火墙或路由器)的另一端,这个过程更难
以执行。在这种情况下,端口扫描检测器可以根据选择的灵敏度级别生成
已过滤端口扫描事件。
下表介绍了可选择的三种不同的灵敏度级别。
有关详细信息,请参阅以下各节:
•
•
配置端口扫描检测
许可证:保护
端口扫描检测配置选项可用于精细调整端口扫描检测器如何报告扫描活动。
请注意,当启用端口扫描检测时,必须在 Rules 页面上为启用的端口扫描类型启用生成器 ID
(GID) 为 122 的规则,以便端口扫描检测器生成端口扫描事件。有关详细信息,请参阅
(GID) 为 122 的规则,以便端口扫描检测器生成端口扫描事件。有关详细信息,请参阅
和
分布式端口扫描
多对一端口扫描,在这种攻击中,多个主机查询单个主机是否有开放端口。
分布式端口扫描具有如下特征:
•
扫描主机的数量多
•
一次扫描的端口数量多
•
扫描的主机为一个 (或数量少)
分布式端口扫描选项检测 TCP、 UDP 和 IP 协议端口扫描。
表
34-3
端口扫描类型 (续)
类型
说明
表
34-4
灵敏度级别
功率水平
说明
低
只检测目标主机的否定响应。选择此级别的灵敏度可抑制误报,但请记住,这样可
能会遗漏某些类型的端口扫描 (慢速扫描、过滤扫描)。
能会遗漏某些类型的端口扫描 (慢速扫描、过滤扫描)。
此级别使用最短的时间周期进行端口扫描检测。
中
根据主机的连接数量检测端口扫描,这意味着,可以检测过滤的端口扫描。但是,
非常活跃的主机 (例如网络地址转换器和代理)可能会生成误报。
非常活跃的主机 (例如网络地址转换器和代理)可能会生成误报。
请注意,可以将这些活跃主机的 IP 地址添加到
Ignore Scanned
字段以减少此类误报。
此级别使用较长的时间周期进行端口扫描检测。
高
根据时间周期侦测端口扫描,这意味着,可以检测基于时间的端口扫描。但是,如
果使用此选项,应在
果使用此选项,应在
Ignore Scanned
和
Ignore Scanner
字段中指定 IP 地址,随时间小心
地调整检测器。
此级别使用更长的时间周期进行端口扫描检测。