Cisco Cisco Firepower Management Center 2000 User Guide
34-7
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
启用随附的预处理器规则后,端口扫描检测器会生成入侵事件,可以像任何其他事件一样进行查
看。但是,数据包视图上显示的信息不同于其他类型的入侵事件。本节介绍了端口扫描事件的数
据包视图上显示的字段,以及如何使用这些信息来了解网络中发生的探测的类型。
看。但是,数据包视图上显示的信息不同于其他类型的入侵事件。本节介绍了端口扫描事件的数
据包视图上显示的字段,以及如何使用这些信息来了解网络中发生的探测的类型。
首先使用入侵事件视图展开端口扫描事件的数据包视图。可以遵循
所述的操作步骤。
请注意,不能下载端口扫描数据包,因为单个端口扫描事件是基于多个数据包;但是,端口扫描
数据包视图提供了所有可用的数据包信息。
数据包视图提供了所有可用的数据包信息。
注
对于端口扫描连接检测器生成的事件,协议号设置为 255。由于默认情况下端口扫描没有特定协
议与之关联,因此,互联网编号分配机构 (IANA) 未将协议号分配给它。IANA 指定 255 作为保留
号码,因此,该号码用于端口扫描事件中以指明事件没有关联的协议。
议与之关联,因此,互联网编号分配机构 (IANA) 未将协议号分配给它。IANA 指定 255 作为保留
号码,因此,该号码用于端口扫描事件中以指明事件没有关联的协议。
下表介绍了端口扫描事件的数据包视图中提供的信息。对于所有 IP 地址,可点击地址查看上下文菜
单并选择
单并选择
whois
以在 IP 地址上执行查找,或者选择
View Host Profile
以查看该主机的主机配置文件。
诱骗端口扫描
TCP
UDP
ICMP
IP
低
中或高
低
中或高
低
中或高
低
中或高
中或高
低
中或高
低
中或高
低
中或高
2
6
18
22
不生成事件。
不生成事件。
10
不生成事件。
10
14
分布式端口扫描
TCP
UDP
ICMP
IP
低
中或高
低
中或高
低
中或高
低
中或高
中或高
低
中或高
低
中或高
低
中或高
4
8
20
24
不生成事件。
不生成事件。
12
不生成事件。
12
16
表
34-5
端口扫描检测
SID (GID:122)
(续)
端口扫描类型
协议:
灵敏度级别
预处理器规则 SID
表
34-6
端口扫描数据包视图
信息
说明
设备
检测事件的设备。
时间
事件发生的时间。
通信
预处理器生成的事件消息。
源 IP:
扫描主机的 IP 地址。
目标 IP:
被扫描主机的 IP 地址。
Priority Count
被扫描主机发出的否定响应 (例如, TCP RST 和 ICMP unreachable)的数
量。否定响应的数量越多,优先级计数就越高。
量。否定响应的数量越多,优先级计数就越高。
Connection Count 主机上的活动连接数量。此值对于基于连接的扫描 (例如 TCP 和 IP)而言更
准确。