Что самый эффективный путь состоит в том, чтобы обнаружить сканирования nmap?
Вот то, что должно было сказать руководство для dconf:
dconf-редактор читает схемы gsettings из $XDG_DATA_DIRS/glib-2.0/schemas для получения описаний, значений по умолчанию и позволенных значений для ключей.
Таким образом для обнаружения, где эти файлы - все, которое необходимо сделать, открывают терминал и пишут это в:
> echo $XDG_DATA_DIRS
Существует то, где Ваш ответ будет (если он установлен), если он не установлен попытка
> set | grep XDG
Необходимо найти некоторую вариацию на то имя с dconf папкой внутри. Для меня изменение было. XDG_RUNTIME_DIR который был установлен на /run/user/1000 и сохраненный названным каталогом dconf с двоичным файлом внутри.
В конечном счете, хотя, если Вы хотите найти полезную человекочитаемую информацию, Вы будете более обеспеченным поиском самих схем, а не двоичных файлов.
Вы смотрели на наличие возникающих угроз? В частности, их правила сканирования ?
Вы никогда не обнаружите обнаружить сканирование на 100% точности. Вообще говоря, пороговое значение полезно. На границах брандмауэров в большой сети я смотрю на Э.Г. Количество различных хостов, связанных с некоторым удаленным хостом в течение определенного периода. На одном хосте количество различных портов на этом хосте за определенный период. На передней части iptables хороший вариант - это выпущенные пакеты. Вы могли бы сделать это в Snort тоже. Основная идея - просто отслеживать некоторые порты, которые вы не открываете. Контакт на этих портах по определению нежелательно. (Хорошо, так что это немного отклоняется от цели просто обнаружения сканов NMAP ...)
Вы хотите обнаружить сканирование NMAP как академическое упражнение, или вы пытаетесь фактически обнаружить злоумышленников, которые выполняют сканирование портов? Последнее может быть чрезвычайно трудно, поскольку злоумышленник может замедлить сканирование и / или распространять сканирование по нескольким клиентам, чтобы победить любую эвристику, которую вы могли бы реализовать. Итак, будьте в курсе, если это ваша цель, которую вы собираетесь «вниз по кролику»: - \
Во-вторых, и вы просто заинтересованы в том, чтобы иметь возможность обнаружения обнаружения сканирования или вы Заинтересованы в основе базового деталей того, как это можно сделать? Другими словами, вы просто хотите сделать это сделать или вы изучаете эту тему?
Для первых, существуют различные инструменты IDS, которые вы можете установить, такие как Snort и Bro, а также многочисленные коммерческие предложения. Понять, однако, что они, вероятно, смогут выявлять только определенные типы сканов, например, сканирование монотонно увеличивающихся номеров порта TCP.
Для последнего, если вы хотите понять, какой сетевой трафик генерируется типичным сканированием NMAP, чтобы вы могли потом искать эти шаблоны, то я предлагаю работать NMAP - возможно, на небольшое количество портов - и изучения трафика, который Он генерирует с использованием снимка, такого как TCPDUMP. Затем вы можете внедрить подписи / правила в любой системе, которую вы строите.
Надеюсь, это поможет!
Идентификатор пассивной операционной системы, P0F, может идентифицировать NMAP SCANS SCANS, по меньшей мере, некоторых типов. Имейте в виду, что NMAP может сделать много различных типов сканов от простых сканов для пинга до очень экзотического. То, что вы просите, может быть не на 100% возможным.