Определить сканирование портов

Я хочу определить, было ли сканирование порта выполнено путем анализа файла pcap. Я не могу понять правильный алгоритм. Будет ли это похоже на сопоставление IP-адресов одного источника с разными IP-адресами? Это будет считаться сканированием портов? Буду признателен, если вы могли бы направить меня в этом. Я делаю это в Java с библиотекой jnetpcap

1 ответ

Во-первых, я бы не выставлял свой компьютер в интернет без брандмауэра, и в этом случае не было бы возможности сканировать.

Большинство маршрутизаторов / брандмауэров могут сказать вам, что они сканировали порт.

Если вы хотите обнаружить сканирование портов, вам нужно искать шаблоны в подключающемся IP-адресе через несколько портов. Что может в качестве шаблона варьируется в зависимости от сканера портов. т.е. сканеры сознательно предпринимают шаги, чтобы избежать обнаружения, поэтому вы не можете сказать, что есть один простой шаблон, который вы можете искать.

Другие вопросы по тегам