Определить сканирование портов
Я хочу определить, было ли сканирование порта выполнено путем анализа файла pcap. Я не могу понять правильный алгоритм. Будет ли это похоже на сопоставление IP-адресов одного источника с разными IP-адресами? Это будет считаться сканированием портов? Буду признателен, если вы могли бы направить меня в этом. Я делаю это в Java с библиотекой jnetpcap
1 ответ
Во-первых, я бы не выставлял свой компьютер в интернет без брандмауэра, и в этом случае не было бы возможности сканировать.
Большинство маршрутизаторов / брандмауэров могут сказать вам, что они сканировали порт.
Если вы хотите обнаружить сканирование портов, вам нужно искать шаблоны в подключающемся IP-адресе через несколько портов. Что может в качестве шаблона варьируется в зависимости от сканера портов. т.е. сканеры сознательно предпринимают шаги, чтобы избежать обнаружения, поэтому вы не можете сказать, что есть один простой шаблон, который вы можете искать.