Método de activación en Perfil de protección de la zona de análisis de puertos
Resolution
Este artículo explica cómo la protección de reconocimiento de la función de protección de zona cuenta la actividad de análisis de puertos TCP utilizando ejemplos reales.
En los ejemplos, nmap se utiliza para demostrar cómo la protección de reconocimiento de la función de protección de zona cuenta con la actividad de exploración de puertos TCP.
Hay muchas variantes que un atacante malintencionado puede utilizar para realizar un análisis de puerto TCP.
Si usted prueba con cualquier otra herramienta que nmap, el comportamiento será el mismo que se muestra en este artículo.
Ejemplo 1: varios atacantes contra un solo host
Varios atacantes maliciosos están haciendo un escaneo de puerto TCP contra un solo host para comprobar si los rangos específicos de los puertos están disponibles o no.
Las siguientes son las condiciones detalladas para demostrar el ejemplo.
- Las direcciones IP del atacante malicioso son 1.1.1.219 y 1.1.1.218
- La dirección IP del servidor de víctimas es 10.128.128.217
- Los rangos de puerto de destino son puerto TCP 21 a 25.
- Nmap comando: "nmap-PS 10.128.128.217-p T:21-25"
LOG1 de amenazas muestra las entradas de registro de amenazas generadas durante el cortafuegos Palo Alto Networks controlando la actividad de exploración de puertos TCP
mencionados en la anterior.
Amenaza LOG1:
Como la amenaza LOG1 muestra, cuando los diferentes atacantes maliciosos están haciendo un escaneo de puerto TCP contra el host único con los mismos rangos de puertos TCP, Palo Alto Networks Firewall cuenta la actividad de exploración de puerto TCP por separado por la dirección IP del atacante malintencionado no destino Puerto durante el intervalo de tiempo especificado .
Ejemplo 2: varios atacantes contra múltiples hosts
Varios atacantes malintencionados están haciendo análisis de puerto TCP contra varios hosts para comprobar si los intervalos específicos de los puertos están disponibles o no.
Las siguientes son las condiciones detalladas para demostrar el ejemplo.
- Las direcciones IP del atacante malicioso son 1.1.1.219 y 1.1.1.218
- Las direcciones IP del servidor de la víctima son 10.128.128.217 y 10.128.128.218
- Los rangos de puerto de destino son puerto TCP 21 a 25.
- Nmap comando: "nmap-PS 10.128.128.217 10.128.128.218-p T:21-25"
LOG2 de amenazas muestra las entradas de registro de amenazas generadas durante el cortafuegos Palo Alto Networks controlando la actividad de exploración de puertos TCP
mencionados en la anterior.
Amenaza LOG2:
Como la amenaza LOG2 muestra, cuando los diferentes atacantes maliciosos están haciendo un análisis de puerto TCP contra los hosts de múltiples víctimas con los mismos rangos de puertos TCP, Palo Alto Networks Firewall cuenta la actividad de análisis de puerto TCP por separado por la dirección IP del atacante malintencionado y el par de direcciones IP del host de la víctima durante el intervalo de tiempo especificado.
Ejemplo 3: varios atacantes contra la red
Varios atacantes maliciosos están haciendo escaneo de puerto TCP contra la red para comprobar si los rangos específicos de los puertos están disponibles o no.
Las siguientes son las condiciones detalladas para demostrar el ejemplo.
- Las direcciones IP del atacante malicioso son 1.1.1.219 y 1.1.1.218
- La red de la víctima es 10.128.128.0/24.
- Los rangos de puerto de destino son puerto TCP 21 a 25.
- Nmap comando: "nmap-PS 10.128.128.0/24-p T:21-25"
Log3 de amenazas muestra las entradas de registro de amenazas generadas durante el cortafuegos Palo Alto Networks controlando la actividad de exploración de puertos TCP
mencionados en la anterior.
Amenaza log3:
Como la amenaza log3 muestra, cuando los diferentes atacantes maliciosos están haciendo un análisis de puerto TCP contra los hosts de múltiples víctimas con los mismos rangos de puertos TCP, Palo Alto Networks Firewall cuenta la actividad de análisis de puerto TCP por separado por la dirección IP del atacante malintencionado y el par de direcciones IP del host de la víctima durante el intervalo de tiempo especificado. (Esto es lo mismo que el ejemplo 2.)