ステルススキャンが接続スキャンよりも注目されるのはなぜですか?
情報セキュリティの本を読んでいて、次の質問に直面しています。
Nmapステルススキャン(SYN)が単純な接続スキャン(TCP connect())よりも注目されるのはなぜですか?
なぜでしょうか?
Nmapは、他の攻撃ツールと同様に、侵入検知システム(IDS)によってフィンガープリントできます。そのため、Nmapの手法は一般に、これらの最新のツール、特に次世代ファイアウォール(NGFW)テクノロジ、またはNGFWの最先端の同等物による攻撃として分類されます。
さらに、情報共有アライアンスセンター(ISAC)は、サイバー脅威インテリジェンス(CTI)インジケーター(多くの場合、侵害のインジケーターまたはIoCとして表示されます)を共有しています。
- Nmapなどの元の攻撃者のトラフィックがIPアドレスであるため、CTIチームが存在する、CTIフィードを使用する、またはCTI要素を含む製品またはサービスを保有する組織によってブロックまたは検出される
- Snort(NB、Snortは非常に人気のある無料のオープンソースIDS)ルールなどのネットワークトラフィックシグネチャで、Nmapの機能に関する情報が含まれています。特にNmapの「ステルス」スキャンなど)。 、NULL、FIN、ACK、Window、SYNなど
あなたはどの本を参照していますか?コンテキストを考えると、作成者は、SYNスキャンがネットワーク上でTCP connect()スキャンよりもノイズが多い可能性がある)について議論しているようです。これは、SYNスキャンが完了しないためです フルTCPハンドシェイク 。繰り返しますが、IDS/IPS、UTM、NGFW、およびCTI防御技術は、他の多くのNmapと同様に、SYNスキャンを検出します=メソッドと他の多くのネットワーク侵入テストツールおよびテクニック。
TCP接続スキャンは、SYNと比較して、ターゲットとの完全な接続を確立します。TCPステルス(SYN)スキャンは、ターゲットとの接続の半分を完了するためです。また、TCP接続スキャンのsyn、syn-ack、 RSTパケットが送信されます。 TCPの場合、SYNのみが送信されず、接続の確立が続行されます。
ステルススキャンは、必ずしも接続スキャンよりも多くの注意を引くとは限りません。ステルススキャンの全体のポイントは、より少ないものを引き付けることです。
この本が意味するかもしれないことは、ステルススキャンが接続スキャンよりも懸念事項であることです。コネクトスキャンは、オンラインで何が行われているかについての情報を取得するためにのみ使用でき、何をしているかを隠そうとはしません。 IDS/IPSシステムはすぐに1つをピックアップする必要があります。攻撃者が接続スキャンを実行している場合、おそらくそれらはあまり洗練されていない/スキルが低いため、脅威は少なくなります。誰かがステルススキャンを実行している場合、彼らは自分が何をしているかを知っている可能性がはるかに高く、検出が困難になります。