首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >如何检测本地机器上的扫描?

如何检测本地机器上的扫描?
EN

Security用户
提问于 2018-08-19 22:04:45
回答 1查看 1.2K关注 0票数 1

有没有任何方法从我连接到的网络中检测本地机器(我与linux操作系统-ubuntu一起使用的pc )上的扫描?

我知道,对于we服务器,我们可以查看apache日志中的一些细节,这些细节可以通知管理员一些解封行为,但在这种情况下,如果没有任何we服务器或共享网络服务,我可以跟踪它的日志,如何才能发现是否有人正在扫描设备?

EN

回答 1

Security用户

回答已采纳

发布于 2018-08-19 22:26:35

斯坎洛格应该是你要找的东西。然而,这是面向TCP的。

scanlogd检测端口扫描,并通过syslog(3)机制每扫描写入一行。如果源地址在短时间内向不同端口发送多个数据包,则将记录该事件。

对于大多数NMap扫描,Snort和p0f都是有能力的IDS。如何利用Snort检测NMAP扫描是关于配置Snort以检测:nmap -sP -p 22 192.168.1.105和其他扫描的指南。

ping扫描-sP此扫描类型列出响应Ping的指定范围内的主机。它允许您检测哪些计算机处于联机状态,而不是哪些端口处于打开状态。Nmap中有四种平扫方法。第一种方法向目标系统发送ICMP回波请求(ping请求)分组。如果接收到ICMP回波应答,系统就会启动,并且ICMP数据包不会被阻塞。如果没有对ICMP ping的响应,Nmap将尝试一个"TCP Ping",以确定ICMP是否被阻塞,或者主机是否真的不在联机。TCP Ping将SYN或ACK数据包发送到远程系统上的任何端口(默认为80)。如果返回RST或SYN/ACK,则远程系统处于联机状态。如果远程系统没有响应,则它是脱机的,或者选择的端口被过滤,因此没有响应任何内容。当以根用户身份运行Nmap ping扫描时,默认情况是使用ICMP和ACK方法。非根用户将使用connect()方法,该方法尝试连接到计算机,等待响应,并在建立连接后立即撕毁连接(类似于根用户的SYN/ACK方法,但此方法建立了完整的TCP连接!)可以通过设置-P0 (即0,而不是大写o)禁用ICMP扫描类型。来源

检测nmap扫描最有效的方法是什么?进一步谈到了这一点。

票数 4
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/191910

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档