1. Русское сообщество
  2. Questions
0
Answered

Сканирование сети

Evgeny Nikolaevich 6 years ago updated by Модератор 6 years ago 2

Здравствуйте.

Есть "Предупреждение" - "Сканирование сети".

Подскажите, возможны ли ложные срабатывания у системы?

Как определить более детально есть ли сканирование, и что происходит?


Есть 2 сервера в контролируемой зоне. Система регистрирует данный вид предупреждения, хотя известно, что сканирование не производится.


События между узлами за время инцидента:

10.1.1.2;Сканирование UDP портов (nmap -sU -T3 10.1.1.3) от 10.1.1.2 к 10.1.1.3; 10.1.1.3;UDP;09:03:18

10.1.1.2;Сканирование сети от 10.1.1.2 к 10.1.1.3; 10.1.1.3;UDP;09:04:18


СОБЫТИЯ PEONY

Тип сообщения: port_scan
0" data="trait.items" class="ng-scope ng-isolate-scope">СКАНИРОВАНИЕ ПОРТОВ

Количество сканированных портов: 100
Протокол: UDP
Время начала сканирования: 09:03:16
Профиль сканирования: -T3
Тип сканирования: -sU

ПРОТОКОЛ

Протокол: UDP

Еще интересно "Количество сканированных портов: 100" - здесь отображаются только кратные 100 числа.



Stepan 6 years ago

Приветствую!


Ложные срабатывания детекта сканирования UDP-портов возможны. Они могут возникать в случаях, когда сетевой трафик несет в себе признаки, схожие с признаками сканирования сети (передача пакетов от одного узла к множеству портов другого узла). Такое поведение может имитировать NTP-сервер, в случае если клиент его часто опрашивает.

Если Вы пришлете запись сетевого трафика, на котором срабатывает детект, мы можем провести для Вас расследования данной проблемы и уведомить Вас о его результатах (а так же использовать его с целью улучшения качества продукта).


Спасибо за вопрос!


С уважением, Степан.

Answered
Модератор 6 years ago

Customer support service by UserEcho