检测 nmap 扫描的最有效方法是什么？

Question

我有兴趣检测针对（我的）GNU/Linux 主机的任何 nmap 扫描。我想将 snort 与 barnyard2 和 snorby 结合使用，或者如果可能的话对 snort Unified2 日志执行基于签名的检测。我注意到执行 nmap -A 扫描时会弹出与以下内容类似的数据包：

[    0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00  ................
[   16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45  E...\c@.x.9....E
[   32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75  .'..Priority Cou
[   48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E  nt: 9.Connection
[   64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75   Count: 8.IP Cou
[   80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50  nt: 2.Scanner IP
[   96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37   Range: 84.242.7
[  112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E  6.66:185.30.166.
[  128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F  69.Port/Proto Co
[  144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F  unt: 10.Port/Pro
[  160] 74 6F                                            to

上面的包是什么？它仅与 nmap 有关吗？（我对此非常怀疑）

不幸的是，使用 sfPortscan 配置的 snort 并不像我希望的那样有效和/或准确（检测到扫描，但由于某种原因我看不到有关它的详细信息，例如源/目标 :: https://i .stack.imgur.com/uqess.png，https://i.stack.imgur.com/faulS.png。我用 --hitcount 和 --seconds 配置了 iptables，这使得“stream5：重置窗口外”弹出，因此我可以检测到一些扫描。）。

我在这里有什么选择？

Answer 1

您看过新兴威胁规则集吗？具体是他们的扫描规则？

您永远无法以 100% 的准确度检测检测扫描。一般来说，阈值处理是有用的。在大型网络的边界防火墙上，我会查看某个远程主机在一定时期内联系的不同主机的数量。在单个主机上，给定时间段内该主机上不同端口的数量。在 iptables 方面，一个不错的选择是记录 DROPed 数据包。你也可以用 snort 来做到这一点。基本思想只是监视一些您没有打开的端口。根据定义，这些端口上的联系是未经请求的。（好吧，这与检测 nmap 扫描的目标有点偏离......）