“检测”端口扫描的问题在于,有能力的攻击者可以轻松使其看起来像合法流量,任何知道如何将 --ip-options 与 Nmap 一起使用的人都可以使其看起来像随机流量,任何使用 -D 的人都可以使其看起来像合法流量看起来好像流量来自其他地方,任何拥有代理的人都可以使其来自其他地方,等等。即使您可以检测到端口扫描 - 在端口扫描的情况下您可以做什么?端口扫描非常常见,因此无法选择锁定服务(否则您还不如将它们关闭)。它只会让你彻夜难眠(并淹没你的电子邮件)一个无关紧要的问题。
尽管有些争议,但根据我的经验,IDS 系统对于普通网络来说并没有多大价值。如果有什么不同的话,那就是它增加了攻击空间。如果可能的话,您最好将时间投入到 ACL、网络安全和 HIPS 上。
| 归档时间: |
|
| 查看次数: |
329 次 |
| 最近记录: |