Port-Scan auslösende Methode in Zone Schutzprofil
Resolution
Dieser Artikel erklärt, wie der Aufklärungs Schutz der Zonen Schutzfunktion die TCP-Port-Scan-Aktivität anhand aktueller Beispiele aufzählt.
In den Beispielen wird nmap verwendet, um zu zeigen, wie der Aufklärungs Schutz der Zonen Schutzfunktion die TCP-Port-Scan-Aktivität aufzählt.
Es gibt viele Varianten, die ein böswilliger Angreifer verwenden kann, um einen TCP-Port-Scan zu machen.
Sollten Sie mit einem anderen Werkzeug als nmap testen, wird das Verhalten das gleiche sein wie in diesem Artikel gezeigt.
Beispiel 1: mehrere Angreifer gegen einen einzigen Host
Mehrere böswillige Angreifer machen einen TCP-Port-Scan gegen einen einzelnen Host, um zu überprüfen, ob die spezifischen Bereiche der Ports verfügbar sind oder nicht.
Im folgenden finden Sie die detaillierten Voraussetzungen, um das Beispiel zu demonstrieren.
- Böswillige Angreifer-IP-Adressen sind 1.1.1.219 und 1.1.1.218
- Die IP-Adresse des Opfer Servers ist 10.128.128.217
- Ziel-Port-Bereiche sind TCP-Port 21 bis 25.
- Nmap-Befehl: "nmap-PS 10.128.128.217-p T:21-25"
Threat log1 zeigt die generierten Bedrohungs Protokolle während der Palo Alto Networks Firewall , die die TCP-Port-Scan-Aktivität bearbeitet
oben erwähnt.
Drohung log1:
Wie Threat log1 zeigt, zählt Palo Alto Networks Firewall, wenn die verschiedenen bösartigen Angreifer einen TCP-Port-Scan gegen den einzelnen Host mit den gleichen TCP-Port-Bereichen durchlaufen, die TCP-Port-Scan-Aktivität separat pro böswilliger Angreifer-IP-Adresse, die nicht Ziel Port während des angegebenen Zeitintervalls .
Beispiel 2: mehrere Angreifer gegen mehrere Hosts
Mehrere böswillige Angreifer machen TCP-Port-Scan gegen mehrere Hosts, um zu überprüfen, ob die spezifischen Bereiche der Ports verfügbar sind oder nicht.
Im folgenden finden Sie die detaillierte Bedingung, um das Beispiel zu demonstrieren.
- Böswillige Angreifer-IP-Adressen sind 1.1.1.219 und 1.1.1.218
- Die IP-Adressen von Opfer Servern sind 10.128.128.217 und 10.128.128.218
- Ziel-Port-Bereiche sind TCP-Port 21 bis 25.
- Nmap-Befehl: "nmap-PS 10.128.128.217 10.128.128.218-p T:21-25"
Threat log2 zeigt die generierten Bedrohungs Protokolle während der Palo Alto Networks Firewall , die die TCP-Port-Scan-Aktivität bearbeitet
oben erwähnt.
Drohung log2:
Wie Threat log2 zeigt, zählt Palo Alto Networks Firewall, wenn die verschiedenen bösartigen Angreifer einen TCP-Port-Scan gegen die mehrfachen Opfer-Hosts mit den gleichen TCP-Port-Bereichen durchlaufen, die TCP-Port-Scan-Aktivität separat pro böswilliger Angreifer-IP-Adresse und das Opfer-Host-IP-Adress paar während des angegebenen Zeitintervalls.
Beispiel 3: mehrere Angreifer gegen das Netzwerk
Mehrere böswillige Angreifer machen TCP-Port-Scan gegen das Netzwerk, um zu überprüfen, ob die spezifischen Bereiche der Ports verfügbar sind oder nicht.
Im folgenden finden Sie die detaillierte Bedingung, um das Beispiel zu demonstrieren.
- Böswillige Angreifer-IP-Adressen sind 1.1.1.219 und 1.1.1.218
- Das Opfer Netzwerk ist 10.128.128.0/24.
- Ziel-Port-Bereiche sind TCP-Port 21 bis 25.
- Nmap-Befehl: "nmap-PS 10.128.128.0/24-p T:21-25"
Threat log3 zeigt die generierten Bedrohungs Protokolle während der Palo Alto Networks Firewall , die die TCP-Port-Scan-Aktivität bearbeitet
oben erwähnt.
Drohung log3:
Wie Threat log3 zeigt, zählt Palo Alto Networks Firewall, wenn die verschiedenen bösartigen Angreifer einen TCP-Port-Scan gegen die mehrfachen Opfer-Hosts mit den gleichen TCP-Port-Bereichen durchlaufen, die TCP-Port-Scan-Aktivität separat pro böswilliger Angreifer-IP-Adresse und das Opfer-Host-IP-Adress paar während des angegebenen Zeitintervalls. (Das ist das gleiche wie Beispiel 2.)