Determinar si el sistema o la red se escanearon con una red o un escáner de vulnerabilidad

Navega tus respuestas
0

En todos los lugares que leo es para tener cuidado al usar escáneres de red y que los escáneres de vulnerabilidad solo deben usarse en reconocimiento activo, ya que los escáneres tienden a ser ruidosos.

¿Cómo determinaría un administrador de red o un técnico de seguridad si se usó uno de estos escáneres? ¿Podría determinarse esto utilizando archivos de registro o programas como los analizadores de paquetes?

He intentado buscar pero he tenido problemas para encontrar algo sobre esto. Sobre todo, todo lo que puedo encontrar es sobre la realización de tales escaneos.

    
pregunta Gavin Youker 01.12.2016 - 07:37
fuente

1 respuesta

1

Puede detectarlos con Sistemas de detección de intrusos si se está escaneando la red.

Si se trata de un servidor web, puede buscar errores en el registro de acceso y grep.

IDS de ejemplo es Snort. Puede ejecutarse de forma pasiva leyendo los paquetes reenviados desde el conmutador (duplicación de puertos del conmutador), o puede estar frente a la red (actuar como un enrutador).

Para la experimentación, Snort se puede instalar en el propio servidor, aunque no se recomienda este

    
respondido por el Aria 01.12.2016 - 07:50
fuente

Lea otras preguntas en las etiquetas

Cuando se usa un túnel SSH, ¿el servidor resuelve los nombres de dominio o aún se hace a través del servidor ISP / DNS en el enrutador? ¿Quién puede ver lo que busco en diferentes motores de búsqueda? [cerrado]