Snort预处理器之`sfPortscan`

文章目录

1 sfPortscan 预处理器简介
2 sfPortscan 预处理器支持的端口扫描类型
- 2.1 Portscan
- 2.2 Decoy Portscan
- 2.3 Distributed Portscan
- 2.4 Portsweep
- 2.5 Filtered Portscan And Filtered Portsweep
3 sfPortscan 预处理器的配置
4 sfPortscan 警报输出
- 4.1 Unified Output
- 4.2 Log File Output
5 sfPortscan 调优
6 sfPortscan 报警

1 sfPortscan 预处理器简介

由 Sourcefire 开发的 sfPortscan 模块，旨在检测网络攻击的第一阶段：侦察（Reconnaissance）。在侦察阶段，攻击者确定主机支持何种类型的网络协议或服务。这个阶段是攻击主机事先不知道目标所支持的协议或服务的情况下，否则，这个阶段就没有必要了。

由于攻击者事先并不知道它的预定目标，因此攻击者发送的大多数查询将是拒绝（negative）的（意味着服务端口被关闭）。在合法的网络通信中，来自主机的拒绝响应是很少见的，而且在给定的时间内出现多次拒绝响应的情况更少见。我们检测端口扫描的主要目的是检测和跟踪这些拒绝响应。

目前使用的最常见的端口扫描工具之一是 Nmap。Nmap 包含许多当前的端口扫描技术。sfPortscan 被设计为能够检测 Nmap 产生的不同类型的扫描。

2 sfPortscan 预处理器支持的端口扫描类型

2.1 Portscan

sfPortscan 当前会对以下类型的 Nmap 扫描发出警告：

TCP Portscan
UDP Portscan
IP Portscan

这些警报是针对一对一端口扫描，这是传统类型的扫描，一台主机扫描另一台主机上的多个端口。

大多数请求都是被拒绝的，因为大多数主机提供的服务相对较少，意味着开放的端口较少。

2.2 Decoy Portscan

sfPortscan 亦会对下列类型的诱骗（decoy）端口扫描进行报警：

TCP Decoy Portscan
UDP Decoy Portscan
IP Decoy Portscan

诱骗端口扫描与上面描述的 Nmap 端口扫描非常相似，只是攻击者拥有一个混合了真实扫描地址的欺骗源地址。这种策略有助于隐藏攻击者的真实身份。

2.3 Distributed Portscan

sfPortscan 也可以针对下列类型的分布式端口扫描发出警报：

TCP Distributed Portscan
UDP Distributed Portscan
IP Distributed Portscan

这是多对一端口扫描。当多个主机查询一个主机以获取打开的服务时，就会发生分布式端口扫描。这是用来逃避 IDS 及混淆命令和控制主机。

注意： 拒绝查询将分布在扫描主机之间，因此我们通过被扫描主机跟踪这种类型的扫描。

2.4 Portsweep

sfPortscan 也可以针对以下类型的 Portsweep 发出警报：

TCP Portsweep
UDP Portsweep
IP Portsweep
ICMP Portsweep

这些警报是针对一对多端口扫描。一台主机扫描多台主机上的一个端口。这通常发生在出现新漏洞并且攻击者正在寻找特定服务时。

注意： portsweep 扫描的特性可能不会导致许多拒绝响应。例如，如果攻击者对端口80进行端口扫描，我们很可能不会看到很多拒绝响应。

2.5 Filtered Portscan And Filtered Portsweep

sfPortscan 对以下已过滤的 portcans 和 portsweeps 发出警报：

TCP Filtered Portscan
UDP Filtered Portscan
IP Filtered Portscan
TCP Filtered Decoy Portscan
UDP Filtered Decoy Portscan
IP Filtered Decoy Portscan
TCP Filtered Portsweep
UDP Filtered Portsweep
IP Filtered Portsweep
ICMP Filtered Portsweep
TCP Filtered Distributed Portscan
UDP Filtered Distributed Portscan
IP Filtered Distributed Portscan

“Filtered” 警报表明没有网络错误(ICMP不可达或TCP RSTs)，或关闭端口上的响应被抑制。它还可以很好地指示警报是否只是一个非常活跃的合法主机。活动主机，如NATs，可以触发这些警报，因为它们可以在非常短的时间内发送许多连接尝试。在收到来自远程主机的响应之前，过滤后的警报可能会发出（go off）。

sfPortscan 仅在时间窗口内为每个有问题的主机对生成一个警报（下面有更多时间窗口的介绍）。在 TCP 扫描警报中， sfPortscan 还将显示所有已扫描的开放端口。但是，在 TCP 扫描警报上，sfPortscan 仅在触发警报后才跟踪开放的端口。开放端口事件不是单个警报，而是基于原始扫描警报的标签。

3 sfPortscan 预处理器的配置

sfPortscan 需要使用 Stream5 预处理器。在无连接协议，如ICMP和UDP，Stream 给 Portscan 指明方向。您应该在 snort.conf 中启用 Stream 预处理器。

可用于配置 portscan 模块的参数有：

proto <protocol>
可用选项：
- TCP
- UDP
- ICMP
- ip proto
- all
scan_type <scan type>
可用选项：
- portscan
- portsweep
- decoy portscan
- distributed portscan
- all
sense_level <level>
可用选项：
- low - “低” 警报仅在从目标主机发送的错误数据包上生成，并且由于错误响应的性质，此设置应该很少出现误报。但是，由于缺少错误响应，此设置将永远不会触发 “Filtered Scan” 警报。此设置基于60秒的静态时间窗口，此后重置此窗口。
- medium - “中级” 警报跟踪连接计数（connection counts），因此将生成 “Filtered Scan” 警报。此设置在活动主机（NAT，代理，DNS缓存等）上可能会产生误报，因此用户可能需要使用 “Ignore” 选项来进行调优。
- high - “高” 警报使用时间窗口连续跟踪网络上的主机，以评估该主机的端口扫描统计信息。该设置会由于持续监控而捕获一些慢速扫描，但对活动主机非常敏感。这绝对需要用户调优 sfPortscan。
watch_ip <ip1|ip2/cidr[ [port|port2-port3]]>
定义需要监视主机的 ip、网络和端口。该列表是一个逗号分隔的 IP 地址列表，IP地址使用CIDR表示法。端口被指定在IP地址/CIDR之后，可以是单一的端口，也可以是一个破折号连接表示的范围，是可选的。如果使用此选项，不属于此范围的 ip 或网络将被忽略。
ignore_scanners <ip1|ip2/cidr[ [port|port2-port3]]>
忽略来自指定地址的扫描警报。参数的格式与 watch_ip 相同。
ignore_scanned <ip1|ip2/cidr[ [port|port2-port3]]>
忽略目的地为指定地址的扫描警报。参数的格式与 watch_ip 相同。
logfile <file>
此选项将把端口扫描事件输出到指定的文件。如果文件不包含前导斜杠，则该文件将放在 Snort 配置目录中。
include_midstream
此选项将包括 Stream 模块在中途拾取的会话。这可能导致错误警报，尤其是在数据包丢失的高负载下。这就是为什么该选项默认关闭的原因。
detect_ack_scans
此选项将包括 Stream 模块在中途拾取的会话，这对于检测 ACK 扫描是必需的。但是，这可能导致错误警报，尤其是在数据包丢失的高负载下。这就是为什么该选项默认关闭的原因。
memcap { positive integer }
为端口扫描检测分配的最大字节数。这个数字越高，可以跟踪的节点就越多。
disabled
任何策略都允许使用这个可选关键字来避免包处理。此选项禁用预处理器。当预处理器被禁用时，只有 memcap 选项在配置中指定时被应用。其他选项将被解析但不使用。任何有效的配置都可能添加了“禁用”。

格式：

preprocessor sfportscan: proto <protocols> \scan_type <portscan|portsweep|decoy_portscan|distributed_portscan|all> \sense_level <low|medium|high> \watch_ip <IP or IP/CIDR> \ignore_scanners <IP list> \ignore_scanned <IP list> \logfile <path and filename> \disabled

举例：

preprocessor flow: stats_interval 0 hash 2
preprocessor sfportscan:\proto { all } \scan_type { all } \sense_level { low }

4 sfPortscan 警报输出

4.1 Unified Output

为了获取与警报一起记录的所有 portcan 信息，snort 会生成一个伪数据包，并使用有效负载部分来存储额外的 portcan 信息，包括优先级计数，连接计数，IP计数，端口计数，IP范围和端口范围。数据包的特征是：

Src/Dst MAC Addr == MACDAD
IP Protocol == 255
IP TTL == 0

除此之外，该包看起来像导致生成 portscan 警报的包的 IP 部分。这包括任何 IP 选项，等等。数据包的有效负载和有效负载大小等于记录的附加 portscan 信息的长度。大小一般在100-200字节左右。

开放端口警报不同于其他 portscan 警报，因为开放端口警报利用带标记的包输出系统。这意味着，如果使用了不打印标记包的输出系统，那么用户将看不到开放端口警报。开放端口信息存储在IP负载中，并包含已开放的端口。

sfPortscan 警报输出旨在与 Unified2 数据包日志记录一起使用，因此可以扩展喜欢的 Snort GUI，使用上述数据包特征显示 portscan 警报和 IP 有效负载中的其他信息。

4.2 Log File Output

日志文件输出以以下格式显示，后面将进一步解释：

Time: 09/08-15:07:31.603880
event_id: 2
192.168.169.3 -> 192.168.169.5 (portscan) TCP Filtered Portscan
Priority Count: 0
Connection Count: 200
IP Count: 2
Scanner IP Range: 192.168.169.3:192.168.169.4
Port/Proto Count: 200
Port/Proto Range: 20:47557

如果目标上有开放端口，则将附加一个或多个带标记的数据包：

Time: 09/08-15:07:31.603881
event_ref: 2
192.168.169.3 -> 192.168.169.5 (portscan) Open Port
Open Port: 38458

上述名词解释：

Event id/Event ref
These fields are used to link an alert with the corresponding Open Port tagged packet
这些字段用于将警报与相应的带开放端口标记的包链接起来
Priority Count
优先级计数跟踪不良响应(resets, unreachables)。优先级计数越高，收到的不良响应就越多。
Connection Count
连接计数列出主机(src or dst)上活动的连接数。这对于基于连接的协议来说是准确的，对于其他协议来说是一个估计值。在此确定是否对端口扫描进行过滤。高连接计数和低优先级计数表明已过滤(没有收到来自目标的响应)。
IP Count
IP 计数跟踪与主机联系的最后一个IP，如果下一个IP不同，则增加计数。对于一对一扫描，这是一个小数目。对于活动主机，无论如何这个数字都会很高，并且一对一扫描可能会作为分布式扫描出现。
Scanned/Scanner IP Range
此字段根据警报类型而改变。Portsweep (一对多)扫描显示被扫描的IP范围。Portscans (一对一)显示扫描仪的 IP。
Port Count
端口计数跟踪最后一个已接触的端口，并在该端口更改时增加该数字。我们使用这个计数(连同IP计数)来确定一对一端口扫描和一对一诱骗端口扫描之间的区别。

5 sfPortscan 调优

在检测端口扫描时，最重要的方面是根据您的网络，调优检测引擎。下面是一些调优技巧：

使用 watch_ip, ignore_scanners, ignore_scanned 选项
正确设置这些选项很重要。watch_ip 选项很容易理解。分析师应该将此选项设置为他们想要观察的 CIDR 区块和 ip 的列表。如果没有定义 watch_ip, sfPortscan 将监视所有网络流量。

ignore_scanners 和 ignore_scanned 选项在清除网络上非常活跃的合法主机时起作用。一些最常见的例子是 NAT IPs、DNS 缓存服务器、syslog 服务器和 nfs 服务器。sfPortscan 可能不会为这些类型的主机生成误报，但是在第一次为这些 ip 调优sfPortscan 时要注意。根据主机生成的警报类型，分析人员需要知道忽略哪个警报。如果主机正在生成 portsweep 事件，则将其添加到 ignore_scanners 选项中。如果主机正在生成 portscan 警报(并且是正在被扫描的主机)，则将其添加到 ignore_scanned 扫描选项中。
Filtered scan alerts 更容易出现误报
在确定误报时，警报类型非常重要。sfPortscan 生成的大部分误报可能都属于 filtered scan alert 类型。所以要对过滤过的端口扫描多加怀疑。很多时候，这只是表明主机在问题时间段内非常活跃。如果主机持续生成这些类型的警报，请将其添加到 ignore_scanners 或使用较低的灵敏度级别。
利用Priority Count, Connection Count, IP Count, Port Count, IP Range, and Port Range来确定误报

Connection Count / IP Count：这个比率表示每个IP的平均连接数。对于portscans，这个比率应该很高，越高越好。对于portsweep，这个比率应该很低

Port Count / IP Count：这个比率表示每个IP连接的端口的估计平均值。对于端口扫描，这个比率应该很高，并表明被扫描主机的端口连接的ip较少。对于portsweep，这个比率应该很低，表明扫描主机连接到很少的端口，但是在很多主机上。

Connection Count / Port Count：这个比率表示每个端口的估计平均连接数。对于端口扫描，这个比率应该很低。这表示每个连接都连接到不同的端口。对于portsweep，这个比率应该很高。这表明同一端口有许多连接。

Priority Count 不包含的原因是，优先级计数包含在连接计数中，上面的比较将其考虑在内。优先级计数在调优中发挥重要作用，因为优先级计数越高，它越有可能是真正的 portscan 或 portsweep (除非主机被防火墙保护)。
如果以上方法都失败，调低 sensitivity_level
如果这些其他调优技术都不起作用，或者分析师没有时间进行调优，那么降低灵敏度级别。

敏感性级别越高，您得到的保护就越好。但是 portscan 检测引擎生成的报警，能够给分析师提供有用的信息同样也很重要。低灵敏度级别仅根据错误响应生成警报。这些响应表明 portscan，由低灵敏度级别生成的警报是高度准确的，需要最少的调优。低灵敏度水平不能捕捉 filtered scans，因为这些更容易出现误报。

6 sfPortscan 报警

sfPortscan 使用 GID 122，可以生成如下报警：

SID	Description
1	TCP Portscan
2	TCP Decoy Portscan
3	TCP Portsweep
4	TCP Distributed Portscan
5	TCP Filtered Portscan
6	TCP Filtered Decoy Portscan
7	TCP Filtered Portsweep
8	TCP Filtered Distributed Portscan
9	IP Protocol Scan
10	IP Decoy Protocol Scan
11	IP Protocol Sweep
12	IP Distributed Protocol Scan
13	IP Filtered Protocol Scan
14	IP Filtered Decoy Protocol Scan
15	IP Filtered Protocol Sweep
16	IP Filtered Distributed Protocol Scan
17	UDP Portscan
18	UDP Decoy Portscan
19	UDP Portsweep
20	UDP Distributed Portscan
21	UDP Filtered Portscan
22	UDP Filtered Decoy Portscan
23	UDP Filtered Portsweep
24	UDP Filtered Distributed Portscan
25	ICMP Sweep
26	ICMP Filtered Sweep
27	Open Port