Port Scanner méthode de déclenchement dans la Zone profil de Protection
Resolution
Cet article explique comment la protection de reconnaissance de la fonctionnalité de protection de zone compte jusqu'à l'activité d'Analyse de port TCP en utilisant des exemples réels.
Dans les exemples, nmap est utilisé pour démontrer comment la protection de reconnaissance de la fonctionnalité de protection de zone compte jusqu'à l'activité de balayage de port TCP.
Il existe de nombreuses variantes qu'un attaquant malveillant peut utiliser pour effectuer une analyse de port TCP.
Si vous testez avec n'importe quel autre outil que nmap, le comportement sera le même que celui indiqué dans cet article.
Exemple 1: plusieurs attaquants contre un seul hôte
Plusieurs attaquants malveillants effectuent un balayage de port TCP contre un hôte unique pour vérifier si les plages spécifiques des ports sont disponibles ou non.
Voici les conditions détaillées pour démontrer L'exemple.
- Les adresses IP malveillantes de l'attaquant sont 1.1.1.219 et 1.1.1.218
- L'adresse IP du serveur victime est 10.128.128.217
- Les plages de ports cibles sont port TCP 21 à 25.
- Commande nmap: "nmap-PS 10.128.128.217-p T:21-25"
Menace log1 affiche les entrées du journal des menaces générées lors de la gestion du pare-feu des réseaux de Palo Alto
mentionnée ci-dessus.
Log1 menace:
Comme menace log1 montre, lorsque les différents attaquants malveillants font une analyse de port TCP contre l'hôte unique avec les mêmes gammes de ports TCP, Palo Alto Networks Firewall compte jusqu'à l'activité de balayage de port TCP séparément par l'attaquant malveillant adresse IP non cible port pendant l'intervalle de temps spécifié .
Exemple 2: plusieurs attaquants contre plusieurs hôtes
Plusieurs attaquants malveillants effectuent un balayage de port TCP contre plusieurs hôtes pour vérifier si les plages spécifiques des ports sont disponibles ou non.
Voici la condition détaillée pour démontrer L'exemple.
- Les adresses IP malveillantes de l'attaquant sont 1.1.1.219 et 1.1.1.218
- Les adresses IP du serveur victime sont 10.128.128.217 et 10.128.128.218
- Les plages de ports cibles sont port TCP 21 à 25.
- Commande nmap: "nmap-PS 10.128.128.217 10.128.128.218-p T:21-25"
Menace log2 affiche les entrées du journal des menaces générées lors de la gestion du pare-feu des réseaux de Palo Alto
mentionnée ci-dessus.
Log2 menace:
Comme la menace log2 montre, lorsque les différents attaquants malveillants font une analyse de port TCP contre les hôtes victimes multiples avec les mêmes gammes de ports TCP, Palo Alto Networks Firewall compte jusqu'à l'activité de balayage de port TCP séparément par l'attaquant malveillant adresse IP et la paire d'adresses IP de l'hôte de la victime pendant l'intervalle de temps spécifié.
Exemple 3: plusieurs attaquants contre le réseau
Plusieurs attaquants malveillants effectuent un balayage de port TCP contre le réseau pour vérifier si les plages spécifiques des ports sont disponibles ou non.
Voici la condition détaillée pour démontrer L'exemple.
- Les adresses IP malveillantes de l'attaquant sont 1.1.1.219 et 1.1.1.218
- Réseau de victimes sont 10.128.128.0/24.
- Les plages de ports cibles sont port TCP 21 à 25.
- Commande nmap: "nmap-PS 10.128.128.0/24-p T:21-25"
Menace log3 affiche les entrées du journal des menaces générées lors de la gestion du pare-feu des réseaux de Palo Alto
mentionnée ci-dessus.
Log3 menace:
Comme la menace log3 montre, lorsque les différents attaquants malveillants font une analyse de port TCP contre les hôtes victimes multiples avec les mêmes gammes de ports TCP, Palo Alto Networks Firewall compte jusqu'à l'activité de balayage de port TCP séparément par l'attaquant malveillant adresse IP et la paire d'adresses IP de l'hôte de la victime pendant l'intervalle de temps spécifié. (C'est la même chose que l'Exemple 2.)