Cisco Cisco Firepower Management Center 2000 ユーザーガイド
34-3
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
检测端口扫描
注
对于端口扫描连接检测器生成的事件,协议号设置为 255。由于默认情况下端口扫描没有特定协
议与之关联,因此,互联网编号分配机构 (IANA) 未将协议号分配给它。IANA 指定 255 作为保留
号码,因此,该号码用于端口扫描事件中以指明事件没有关联的协议。
议与之关联,因此,互联网编号分配机构 (IANA) 未将协议号分配给它。IANA 指定 255 作为保留
号码,因此,该号码用于端口扫描事件中以指明事件没有关联的协议。
根据目标主机的数量、扫描主机的数量和扫描的端口数量,端口扫描通常分为四种类型。下表介
绍了可检测的端口扫描活动的类型。
绍了可检测的端口扫描活动的类型。
表
34-2
协议类型
协议
说明
TCP
检测 TCP 探针,例如 SYN 扫描、 ACK 扫描、 TCP connect() 扫描和带异常标志组合
(如 Xmas tree、 FIN 和 NULL)的扫描
UDP
检测 UDP 探针,如零字节 UDP 数据包
ICMP
检测 ICMP 回应请求 (ping)
IP
检测 IP 协议扫描。这些扫描与 TCP 和 UDP 扫描不同,因为攻击者不是查找开放端
口,而是尝试去发现目标主机支持哪些 IP 协议。
口,而是尝试去发现目标主机支持哪些 IP 协议。
表
34-3
端口扫描类型
类型
说明
端口扫描检测
一对一端口扫描,在这种扫描中,攻击者使用一个或几个主机扫描单个目
标主机上的多个端口。
标主机上的多个端口。
一对一端口扫描具有如下特征:
•
扫描主机的数量少
•
扫描单个主机
•
扫描的端口数量多
此选项检测 TCP、 UDP 和 IP 端口扫描。
端口清扫
一对多端口清扫,在这种扫描中,攻击者使用一个或几个主机扫描多个目
标主机上的单个端口。
标主机上的单个端口。
端口清扫具有如下特征:
•
扫描主机的数量少
•
扫描的主机数量多
•
扫描的唯一端口数量少
此选项检测 TCP、 UDP、 ICMP 和 IP 端口清扫。
诱骗端口扫描
一对一端口扫描,在这种攻击中,攻击者将伪造的源 IP 地址与真实的扫描
IP 地址混合在一起。
IP 地址混合在一起。
诱骗端口扫描具有如下特征:
•
扫描主机的数量多
•
一次扫描的端口数量少
•
扫描的主机为一个 (或数量少)
诱骗端口扫描选项检测 TCP、 UDP 和 IP 协议端口扫描。