Дослідження ефективності Snort в протидії методам сканування портів
DOI:
https://doi.org/10.18372/2225-5036.23.11546Ключові слова:
Snort, сканування порту, виявлення атаки, атака нульового дня, техніка обходу, інформаційна безпекаАнотація
Система виявлення вторгнень Snort стала де-факто стандартом серед систем виявлення вторгнень на основі програмного забезпечення через високий рівень настроюваності і відносну простоту конфігурації. Тим не менш, вона є виключно важливою системою виявлення вторгнень не тільки для запобігання відомих атак, але і для виявлення атак нульового дня і попередніх їм дій, таких як сканування портів. Проте, як компанії, так і дослідження часто нехтують заходами безпеки, необхідними для запобігання попередніх дій, таких як сканування портів. У даній статті досліджуються ефективність Snort щодо виявлення різних методів сканування портів і популярних технік обходу, а також конфігурації, які призводять до кращої продуктивності. Запобігання сканування портів розглянуто в контексті стандартного сервісу nmap і всіх методів сканування, доступних в даному продукті. Так само розглянуто такий метод запобігання виявлення як дефрагментація пакета, а також шляхи блокування цього методу обходу виявлення. Стаття включає в себе рекомендації по конфігурації системи Snort для ефективного виявлення атак сканування портів.
Посилання
Stallings W. Computer Security: Principles and Practices / W. Stallings, L. Brown. – Harlow, UK: Pearson Education Limited, 2012. – 816 p.
Lyon G.F. Nmap Network Scanning: The Of-ficial Nmap Project Guide to Network Discovery and Security Scanning / G.F. Lyon. – Nmap Project, 2009. – 468 p.
Roesch M. Snort Users Manual 2.9.8.2. / M. Roesch. – Cisco, 2016. – 267 p.
Rehman U.R. Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID / U.R. Rehman. – New Jersey, USA: Prentice Hall PTR, 2003. – 275 p.