Ansichten:
Die Erkennungsfunktion für Aufklärungsscans dient als Frühwarnung vor einem potenziellen Angriff oder einer Informationsbeschaffungsmaßnahme gegen ein Netzwerk.

Arten von Aufklärungsscans

Server- und Workload Protection kann mehrere Arten von Aufklärungsscans erkennen:
  • Computer OS Fingerprint Probe: Der Agent erkennt einen Versuch, das Betriebssystem des Computers zu ermitteln.
  • Network or Port Scan: Der Agent meldet einen Netzwerk- oder Port-Scan, wenn er feststellt, dass eine Remote IP ein ungewöhnliches Verhältnis von IPs zu Ports besucht. Normalerweise sieht ein Agent-Computer nur den für ihn bestimmten Datenverkehr, daher ist ein Port-Scan die häufigste Art von Erkundung, die erkannt wird. Die in der Erkennung von Computer- oder Port-Scans verwendete statistische Analysemethode basiert auf dem "TAPS"-Algorithmus, der in dem auf der IPCCC 2006 vorgestellten Papier "Connectionless Port Scan Detection on the Backbone" vorgeschlagen wurde.
  • TCP Null Scan: Der Agent erkennt Pakete ohne gesetzte Flags.
  • TCP SYNFIN Scan: Der Agent erkennt Pakete, bei denen nur die SYN- und FIN-Flags gesetzt sind.
  • TCP Xmas Scan: Der Agent erkennt Pakete, bei denen nur die FIN-, URG- und PSH-Flags gesetzt sind oder einen Wert von 0xFF (alle möglichen Flags gesetzt) haben.

Vorgeschlagene Aktionen

Wenn Sie eine Warnung "Erkundung erkannt" erhalten, doppelklicken Sie darauf, um detailliertere Informationen anzuzeigen, einschließlich der IP-Adresse, die den Scan durchführt. Dann können Sie eine der vorgeschlagenen Maßnahmen ausprobieren:
  • Der Alarm kann durch einen Scan verursacht werden, der nicht bösartig ist. Wenn die im Alarm aufgeführte IP-Adresse Ihnen bekannt ist und der Datenverkehr in Ordnung ist, können Sie die IP-Adresse zur Erkundungserlaubnisliste hinzufügen:
    1. Im Computer- oder Richtlinien-Editor gehen Sie zu FirewallReconnaissance.
    2. Die Do not perform detection on traffic coming from-Liste sollte einen Listennamen enthalten. Falls noch kein Listenname angegeben wurde, wählen Sie einen aus.
    3. Sie können die Liste bearbeiten, indem Sie zu RichtlinienCommon ObjectsListenIP Lists gehen. Doppelklicken Sie auf die Liste, die Sie bearbeiten möchten, und fügen Sie die IP-Adresse hinzu.
  • Sie können die Agenten und Geräte anweisen, den Datenverkehr von der Quell-IP für einen bestimmten Zeitraum zu sperren. Um die Anzahl der Minuten festzulegen, öffnen Sie den Computer- oder Richtlinien-Editor, gehen Sie zu FirewallReconnaissance und ändern Sie den Block Traffic-Wert für den entsprechenden Suchtyp.
  • Sie können eine Firewall oder eine Sicherheitsgruppe verwenden, um die eingehende IP-Adresse zu sperren.
Hinweis
Hinweis
Server- und Workload Protection löscht die Warnungen "Erkundung erkannt" nicht automatisch, aber Sie können das Problem manuell aus Server- und Workload Protection entfernen.
Weitere Informationen zu Erkennungsscans finden Sie unter Firewall-Einstellungen.