ポートスキャンインスペクタの概要
タイプ |
インスペクタ(プローブ) |
使用方法 |
グローバル |
インスタンス タイプ |
グローバル |
その他のインスペクタが必要 |
なし |
有効 |
false |
ポートスキャンとは、攻撃者が攻撃の準備段階としてよく使用する、ネットワーク調査の形式です。ポートスキャンでは、攻撃者はターゲットホスト上のネットワークプロトコルとサービスをプローブするように設計されたパケットを送信します。攻撃者は、ホストが応答で送信したパケットを確認することで、ホスト上のどのポートが開かれているか、または開かれているポートでどのアプリケーションプロトコルが実行されているかを直接あるいは推論によって判断できます。
ポートスキャン自体は攻撃の証拠になりません。ネットワーク上の正当なユーザーが、攻撃者が使用するのと同様のポートスキャン技術を使用している可能性があります。
port_scan
インスペクタは、4 種類のポートスキャンを検出し、TCP、UDP、ICMP、および IP プロトコルでの接続試行をモニタします。port_scan
インスペクタは、アクティビティのパターンを検出することで、どのポートが悪意のあるポートであるかを判断するのに役立ちます。
プロトコル | 説明 |
---|---|
TCP | TCP プローブを検出します。たとえば、SYN スキャン、ACK スキャン、TCP connect() スキャン、および(Xmas tree、FIN、NULL)といった異常なフラグを組み合わせたスキャンなどです。 |
UDP | ゼロバイト UDP パケットなどの UDP プローブを検出します。 |
ICMP | ICMP エコー要求(ping)を検出します。 |
IP | IP プロトコル スキャンを検出します。Snort は、開いているポートを探すのではなく、ターゲットホストでサポートされている IP プロトコルを検索します。 |
一般に、ターゲットホストの数、スキャン側ホストの数、およびスキャン対象のポートの数に応じて、ポートスキャンは 4 つのタイプに分けられます。
タイプ | 説明 |
---|---|
ポートスキャン |
攻撃者が少数のホストを使用して、1 つの対象ホスト上で複数のポートをスキャンする 1 対 1 ポートスキャン。 1 対 1 ポートスキャンには次のような特徴があります。
ポートスキャンでは、TCP、UDP、および IP のポートスキャンが検出されます。 |
ポートスイープ |
攻撃者が少数のホストを使用して、複数の対象ホスト上で 1 つのポートをスキャンする 1 対多のポートスイープ。 ポートスイープには次のような特徴があります。
ポートスイープでは、TCP、UDP、ICMP、および IP のポートスイープが検出されます。 |
デコイ ポートスキャン |
攻撃者がスプーフィングされた送信元 IP アドレスと実際にスキャンされた IP アドレスとを組み合わせた 1 対 1 ポートスキャン。 デコイポートスキャンには次のような特徴があります。
デコイポートスイープでは、TCP、UDP、および IP のプロトコルポートスキャンが検出されます。 |
分散型ポートスキャン |
複数のホストが開いているポストに対して 1 つのホストをクエリする多対 1 のポートスキャン。 分散型ポートスキャンには次のような特徴があります。
分散型ポートスキャンでは、TCP、UDP、および IP のプロトコルポートスキャンが検出されます。 |
ポートスキャン感度のレベル
port_scan
インスペクタは、3 つのレベルのデフォルトのスキャン感度を備えています。
-
default_low_port_scan
-
default_med_port_scan
-
default_high_port_scan
さまざまなフィルタを使用して、追加のスキャン感度レベルを構成できます。
-
scans
-
rejects
-
nets
-
ports
port_scan
インスペクタは、プローブされたホストから否定応答を収集することで、プローブについて学習します。たとえば、Web クライアントが TCP を使用して Web サーバーに接続している場合、そのクライアントは Web サーバーがポート 80 でリスニングしていると想定できます。ただし、攻撃者がサーバーをプローブする場合、そのサーバーが
Web サービスを提供するかどうかを攻撃者は事前に知っているわけではありません。port_scan
インスペクタは否定応答(つまり、ICMP 到達不能または TCP RST パケット)を検出すると、その応答を潜在的ポートスキャンとして記録します。否定応答をフィルタリングするデバイス(ファイアウォールやルータなど)の向こう側にターゲット ホストがある場合、このプロセスはさらに困難になります。この場合、port_scan
インスペクタは、選択した機密レベルに基づいてフィルタ処理されたポートスキャンイベントを生成することができます。