--- Em [email protected], "l.calmeida" <[EMAIL PROTECTED]> escreveu > Fiz alguns estudos sobre portscan com o nmap. executei uma varredura > de portas em uma determinada máquina e capturei o tráfego gerado... > > Pontos à serem observados: > > -O nmap envia pacotes TCP(SYN) para algumas(0-1023 + algumas exceções) > portas do alvo; > -O alvo responde pacotes TCP(RST,SYN) nas portas onde não "existem" > serviços rodando;
RST+SYN? Certeza? > -O alvo responde pacotes TCP(SYN,ACK) nas portas onde existem serviços > executando; Esse é só um dos tipos de scan... > Tipo se no HLBR existisse algum parâmetro que trabalhasse com tempo, > ou quantidade, acho que daria certo..(aliás, existe alguma coisa > parecida????) > > Vi que existem algumas soluções que conseguem detectar portscan: > PSAD - http://cipherdyne.org/psad/ (analisa logs do iptables) > sfPortScan - > http://www.snort.org/docs/snort_htmanuals/htmanual_283/node72.html > (trabalha junto com o Snort) > > Porém não sei se dariam certo no HLBR.. > > Alguém aqui já fez algo parecido com o que eu necessito? Vi seu e-mail na lista do Snort. Se não me engano você estava questionando que quando usava o sfportscan, um range IP ficava bloqueado, não foi? O HLBR não foi projetado para isso. Port Scan não são ataques, podem até ser um indício, mas não são ataques. Além, port scan pode ser forjado, ou se o scanner estiver atrás de um NAT, todo o range pode ser prejudicado pela ação de uma só máquina, tal qual aconteceu com você. Sistemas de prevenção de intrusão devem ser precisos e justos, visando elever a disponibilidade do serviço o qual ele proteje. Isso é conseguido no HLBR através dos padrões de ataques, onde um pacote só é bloqueado caso realmente cotenha tráfego julgado malicioso, não apenas indícios. Esse comportamento que você deseja pode ser conseguido em meio ao uso de um filtro de pacotes.
