Cisco Cisco Firepower Management Center 4000 User Guide
34-2
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
要查看 Back Orifice Detection 页面,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control > Access Control Policy
以显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
。
系统将显示 Policy Information 页面。
步骤 3
在左侧的导航面板中,点击
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
Specific Threat Detection
下的
Back Orifice Detection
:
•
如果已启用预处理器,请点击
Edit
。
•
如果已禁用预处理器,请点击
Enabled
,然后点击
Edit
。
系统将显示 Back Orifice Detection 页面。页面底部消息会识别包含配置的入侵策略层。有关详
情,请参见
情,请参见
步骤 5
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详情,请
参见
参见
检测端口扫描
许可证:保护
端口扫描是一种通常被攻击者用作攻击前奏的网络侦察形式。在端口扫描中,攻击者将特制的数
据包发送到目标主机。通过检查主机响应时所用的数据包,攻击者通常可以直接或通过推理确定
主机上的哪些端口是开放的,以及哪种应用协议正在这些端口上运行。
据包发送到目标主机。通过检查主机响应时所用的数据包,攻击者通常可以直接或通过推理确定
主机上的哪些端口是开放的,以及哪种应用协议正在这些端口上运行。
请注意,当启用端口扫描检测时,必须在入侵策略 Rules 页面上为启用的端口扫描类型启用生成
器 ID (GID) 为 122 的规则,以便端口扫描检测器可以生成端口扫描事件。有关详细信息,请参阅
器 ID (GID) 为 122 的规则,以便端口扫描检测器可以生成端口扫描事件。有关详细信息,请参阅
端口扫描本身不算是攻击。事实上,攻击者使用的一些端口扫描技术也可能会被网络上的合法用
户使用。思科的端口扫描检测器旨在通过检测活动模式来帮助确定哪些端口扫描可能是恶意的。
户使用。思科的端口扫描检测器旨在通过检测活动模式来帮助确定哪些端口扫描可能是恶意的。
攻击者可能会使用多种方法来探测网络。他们通常使用不同的协议从目标主机获取不同的响应,以
期即使某一种协议被阻止,也可以使用另一种。下表介绍了可在端口扫描检测器中激活的协议。
期即使某一种协议被阻止,也可以使用另一种。下表介绍了可在端口扫描检测器中激活的协议。
105:3
检测到 Back Orifice 服务器流量
105:4
检测到 Back Orifice snort 缓冲区攻击
表
34-1
Back Orifice GID:SIDs
(续)
预处理器规则 GID:SID
说明