Estoy leyendo un libro sobre seguridad de la información y me encuentro con la pregunta:
¿Por qué los nmn Stealth scans (SYN) atraen más atención que la simple conexión? exploraciones (TCP connect ())?
¿Por qué podría ser?
Estoy leyendo un libro sobre seguridad de la información y me encuentro con la pregunta:
¿Por qué los nmn Stealth scans (SYN) atraen más atención que la simple conexión? exploraciones (TCP connect ())?
¿Por qué podría ser?
Nmap, como cualquier herramienta adversaria, se puede tomar las huellas digitales de Intrusion Detection Systems (IDS). Como tal, cualquiera de las técnicas de Nmap se clasifican generalmente como un ataque con estas herramientas modernas, especialmente las tecnologías de cortafuegos de próxima generación (NGFW), o los equivalentes de vanguardia de los NGFW.
Además, los centros de alianza de intercambio de información (ISAC) comparten indicadores de inteligencia de amenaza cibernética (CTI) (que a menudo se muestran como indicadores de compromiso o IoC) que involucran a cualquiera
¿A qué libro te refieres? Dado el contexto, parece que el autor está discutiendo cómo los escaneos SYN son potencialmente más ruidosos en una red que los escaneos TCP connect (). Esto se debe a que el escaneo SYN no completa el protocolo de enlace TCP completo . Una vez más, las técnicas de defensa IDS / IPS, UTM, NGFW y CTI detectarán el escaneo SYN, al igual que muchos otros métodos de Nmap y muchas otras herramientas y técnicas de prueba de penetración de red.
Una exploración de sigilo no necesariamente atraería más atención que una exploración de conexión, el punto central de una exploración de sigilo es atraer menos.
Lo que este libro puede estar insinuando es que un análisis oculto es más una preocupación que un análisis conectado. Los escaneos de conexión se pueden usar para obtener simplemente información sobre lo que está en línea, no intentan ocultar lo que están haciendo. Un sistema IDS / IPS debe recoger uno de inmediato. Si un atacante está ejecutando un análisis de conexión, es probable que sean menos sofisticados / expertos y, por lo tanto, menos una amenaza. Si alguien está ejecutando un escaneo oculto, es mucho más probable que sepan lo que están haciendo y que sea más difícil de detectar.
Lea otras preguntas en las etiquetas ports nmap network-scanners