検知されづらいportscanをnmapを使って行う方法に関する質問です。
(前提)
大学でnmapとsnortの使い方に関する課題が出ました。
2人がattackerPCとdefenderPCに分かれ、defenderはsnortを使ってportscanを検知することが目的で、一方、attackerはdefenderに気づかれずportscanを行う(open portを調べる)というのが目的です。
お互いのPCは同一ネットワーク上にあり、PC上のpersonal firewallはOFF、attackerはdefenderのIPアドレスを試合前に教授から知らされます。nmapのコマンドオプション、snortのチューニング(snort.confの設定)はそれぞれ各人が設定し、attackerはzenmap4.76、defenderはsnort2.8.3を使用。
(質問)
defender側からするとsnortでscan.ruleを使ったり、sfportscanのsense_levelをhighにするなどして、容易にportscanを検知できそうです。一方、attacker側からするとsense_levelがhighのdefenderをportscanするとすぐ検知されてしまいそうな気がします。実際、練習試合をやったときはステルススキャン(-sF)もslowscan(--scan_delay=500msec)も検知されてしまいました。
このような状況において、検知されづらいnmapのコマンドラインオプションはどのようなものが考えられるでしょうか?
PS:
・一応、一通りnmapのman pageは目を通しました。
みんなの回答
-
kn1967
満足53pt
可能性を求めるとすればディフェンダー側が
snortのルールをどの程度理解して対処してくるかが鍵だろうけど
事前学習及び試合時間といった時間的制限などもあるでしょうから
デフォルトに近い状態と仮定してもディフェンダー側が圧倒的に有利。
余程のポカをしていない限りは
ポートスキャンに感づかれないようにするのは事実上不可能。
# ただ単に、攻撃元を簡単には悟られないようにするだけでよければ
# デコイを大量に放つという手くらいは残されているけれど・・・。
ポカを起こしやすい部分としては
起動オプションの付け忘れ、コメントの外し忘れなど
自分(対戦相手)なら見逃しそうな部分をまずは検討してみてください。
それと各種閾値の設定値。
誤検出を恐れる(=そこまで考える)のか
とりあえずは何でもアラート(=何も考えず闇雲に)なのか・・・
このあたりになると心理戦ですね。
今回の課題で何を求められているのかにもよりますが
どのような思考プロセスによって攻撃方法を絞り込んだのかを
まとめる事に終始したほうがよろしいかもしれません。
コメント欄にでも書く事だと思ったのだけど、どうかしら?
-
sitting_duck
-
- その他の回答を読む
sitting_duck
この質問へのコメント
質問の情報
- 登録日時
- 2008-09-22 09:54:19
- 終了日時
- 2008-09-29 09:55:02
- 回答条件
- 1人2回まで
この質問のカテゴリ
この質問に含まれるキーワード
人気の質問
-
この英文どうなってますか? The boy seemed to be waiting for his mother to come.(その少年は母親が来…
匿名質問者
1
1
-
不定詞の形容詞的用法らしいんですけど、副詞的用法と書いたら✖️ですか? I want to buy a book to read …匿名質問者11
-
日向陽葵という○V女優が好きなのですが似ている○V女優はいますか匿名質問者
-
共通テストで使われるプログラミング言語は共通テスト特有の言語と聞いたのですが、受験勉強で身につけたプ…匿名質問者1
-
内定してほしいポケモンはいますか?匿名質問者