¿Cómo detectar un escaneo en una máquina local?

Navega tus respuestas
1

¿Hay alguna forma de detectar un escaneo en la máquina local (la PC que estoy usando con un sistema operativo Linux) desde la red a la que estoy conectado?

Sé que para los servidores web podríamos revisar el registro de apache para obtener detalles que podrían notificar al administrador acerca de algún comportamiento de desconexión, pero para este caso donde no hay ningún servidor web o un servicio de red compartido que pueda seguir sus registros ¿Cómo puedo saber si hay alguien que esté escaneando el dispositivo?

    
pregunta Barttttt 20.08.2018 - 00:04
fuente

1 respuesta

4

Scanlogd debe ser lo que está buscando . Sin embargo, esto está orientado a TCP.

  

scanlogd detecta las exploraciones de puertos y escribe una línea por exploración a través de   mecanismo syslog (3). Si una dirección de origen envía múltiples paquetes a   diferentes puertos en poco tiempo, el evento será registrado.

Para la mayoría de los escaneos NMap, Snort y p0f son IDS capaces. Cómo detectar el escaneo NMAP usando Snort es una guía sobre cómo configurar Snort para detectar: nmap -sP -p 22 192.168.1.105 entre otras exploraciones.

  

Ping Scan [-sP] Este tipo de escaneo enumera los hosts dentro del especificado   Rango que respondió a un ping. Te permite detectar cuales   Las computadoras están en línea, en lugar de los puertos que están abiertos. Cuatro metodos   existe dentro de Nmap para barrido de ping.

     

El primer método envía un paquete de SOLICITUD DE ECHO DE ICMP (solicitud de ping) a   El sistema de destino. Si se recibe una RESPUESTA ECHO DE ICMP, el sistema   está activo, y los paquetes ICMP no están bloqueados. Si no hay respuesta a   el ping de ICMP, Nmap intentará un "ping de TCP", para determinar si ICMP   está bloqueado, o si el host realmente no está en línea.

     

Un TCP Ping envía un paquete SYN o ACK a cualquier puerto (80 es el   predeterminado) en el sistema remoto. Si se devuelve RST, o un SYN / ACK, entonces   El sistema remoto está en línea. Si el sistema remoto no responde,   o está fuera de línea, o el puerto elegido se filtra, y por lo tanto no   respondiendo a cualquier cosa.

     

Cuando ejecuta un escaneo de ping de Nmap como root, el valor predeterminado es usar el ICMP   y los métodos ACK. Los usuarios no root utilizarán el método connect (), que   intenta conectarse a una máquina, esperando una respuesta y rasgado   abajo de la conexión tan pronto como se haya establecido (similar a la   Método SYN / ACK para usuarios root, pero este establece un TCP completo   conexión!)

     

El tipo de escaneo ICMP se puede desactivar configurando -P0 (es decir, cero, no   mayúscula o).    Source

¿Cuál es la forma más efectiva de detectar las exploraciones de nmap habla más sobre esto.

    
respondido por el safesploit 20.08.2018 - 00:26
fuente

Lea otras preguntas en las etiquetas

Secuencias de comandos entre sitios en una clave única ¿Puede BIOS / UEFI cambiar el código del sistema operativo?