Отслеживание неавторизованного IP-сканера в частной сети
Я наехал на ответ в котором говорилось, что запуск сканера IP / портов (fing) может предупредить администратора. Я - любопытное существо, и без каких-либо последствий провел миллиард вредоносных сканирований сети, и это помогло мне подключиться к сети, найдя IP-адрес на странице входа (ирония, правда?).
Так что, как сетевой инженер начального уровня, я никогда не слышал, чтобы кто-нибудь получал предупреждения, кроме публичных IP-адресов для сканирования портов. Ложные триггеры происходят постоянно, и установка триггера в WireShark не имеет большого значения, когда администратор возвращается с 1000 других более важных заданий, чтобы узнать, накануне того, как кому-то было любопытно использовать BYOD, который с тех пор был удален из сети, использовался в холле или изменил IP и MAC-адрес, если когда-либо был вредоносным.
Почему, как и при каких обстоятельствах, кроме просмотра DDOS на определенном порту, отслеживание портов или обнаружение и отслеживание сканером IP / портов будет актуальным или отслеживаться? Спасибо!
Хорошая точка зрения. Вот как я бы это отследил. Я бы порекомендовал установить в сети мониторинг NetFlow. Захватив NetFlow, вы можете соответствовать масштабам большинства сетей при использовании минимального объема хранилища.
Существует две настройки установки: экспорт потока с маршрутизатора или порт отвода / отрезка. Я предпочитаю маршрутизатор, так как вы будете видеть межсетевой трафик, а не только входящий / исходящий.
Мне нравится инструмент с открытым исходным кодом SiLK от CERT, доступный в виде пакета RPM в репозитории CERT Forensics - forensics.cert.org.
Типичная установка с одним сервером выглядит как на изображении ниже. 
После установки и настройки вам нужно будет искать хосты, которые попали во многие порты назначения, с помощью запроса с помощью rwfilter. Справочник SiLK доступен здесь: http://tools.netsa.cert.org/silk/analysis-handbook.pdf
Сканер можно найти, посмотрев на исходный IP-адрес и отдельные порты назначения. Что-то вроде :
rwfilter --proto=0- --type=all --pass=stdout | rwstats --fields=sip,dport
Как только вы обнаружите это, поищите, куда мог уйти хост сканирования:
rwfilter --proto=0- --type=all --pass=stdout --saddress=<SCANNERIP> | rwcut
IDS или IPS, которые будут отслеживать ваш сканирующий трафик, могут быть настроены на предупреждение о поведении сканирования. В зависимости от того, насколько хорошо он настроен и как медленно или быстро вы выполняете сканирование, он может или не переключать предупреждение. Такие вещи не распространены внутри корпоративной сети, гостевой wifi, конечно, отдельная история. Это может быть симптом злонамеренного инсайдера или взломанной машины.
На вашем публичном интерфейсе я бы подумал, что это просто шум. Но в вашей внутренней сети это красный флаг, на который стоит обратить внимание.
Мне очень нравится Lockheed Martin Cyber Kill Chain https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf который разбивает вторжение на 7 фаз.
Источник: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
В примере со сканированием это может быть сценарий разведки или действий по целям. Поэтому я люблю следить за ними в своих внутренних сетях.