¿Por qué un análisis de sigilo atrae más atención que un análisis de conexión?

Navega tus respuestas
5

Estoy leyendo un libro sobre seguridad de la información y me encuentro con la pregunta:

  

¿Por qué los nmn Stealth scans (SYN) atraen más atención que la simple conexión?   exploraciones (TCP connect ())?

¿Por qué podría ser?

    
pregunta sereGkaluv 23.02.2015 - 16:58
fuente

2 respuestas

10

Nmap, como cualquier herramienta adversaria, se puede tomar las huellas digitales de Intrusion Detection Systems (IDS). Como tal, cualquiera de las técnicas de Nmap se clasifican generalmente como un ataque con estas herramientas modernas, especialmente las tecnologías de cortafuegos de próxima generación (NGFW), o los equivalentes de vanguardia de los NGFW.

Además, los centros de alianza de intercambio de información (ISAC) comparten indicadores de inteligencia de amenaza cibernética (CTI) (que a menudo se muestran como indicadores de compromiso o IoC) que involucran a cualquiera

  1. Las direcciones IP que el tráfico del atacante original, como Nmap, serían bloqueadas o detectadas por una organización que tiene un equipo de CTI, consume fuentes de CTI o tiene productos o servicios que incluyen un elemento de CTI
  2. firmas de tráfico de red, como Snort (NB, Snort es una regla muy popular de IDS de código abierto) que contiene información sobre cómo funciona Nmap, especialmente los escaneos "sigilosos" de Nmap, por ejemplo, NULL, FIN, ACK , Ventana, SYN, et al

¿A qué libro te refieres? Dado el contexto, parece que el autor está discutiendo cómo los escaneos SYN son potencialmente más ruidosos en una red que los escaneos TCP connect (). Esto se debe a que el escaneo SYN no completa el protocolo de enlace TCP completo . Una vez más, las técnicas de defensa IDS / IPS, UTM, NGFW y CTI detectarán el escaneo SYN, al igual que muchos otros métodos de Nmap y muchas otras herramientas y técnicas de prueba de penetración de red.

    
respondido por el atdre 23.02.2015 - 18:26
fuente
0

Una exploración de sigilo no necesariamente atraería más atención que una exploración de conexión, el punto central de una exploración de sigilo es atraer menos.

Lo que este libro puede estar insinuando es que un análisis oculto es más una preocupación que un análisis conectado. Los escaneos de conexión se pueden usar para obtener simplemente información sobre lo que está en línea, no intentan ocultar lo que están haciendo. Un sistema IDS / IPS debe recoger uno de inmediato. Si un atacante está ejecutando un análisis de conexión, es probable que sean menos sofisticados / expertos y, por lo tanto, menos una amenaza. Si alguien está ejecutando un escaneo oculto, es mucho más probable que sepan lo que están haciendo y que sea más difícil de detectar.

    
respondido por el GdD 23.02.2015 - 18:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo llamaría a un ataque donde el usuario autenticado modifica la información de otros usuarios en la aplicación web? Virus detectado en pdf: ¿debería preocuparme (CVE-2014-8449)?