Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2455 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anti-Portscan Not Detecting a Definite Scan

robertobrinsky
I have seen an ongoing portscan in my Firewall Live Log. Every 11 or 12 seconds the same IP address sends a SYN packet and each time the destination port is incremented by 1. This has been going on for several days now. But my UTM 9 (9.001-18) does not report this and it is clearly a scan in progress.

IPS is on, Anti-Portscan is on, Notifications of Portscans is enabled for email, and I do receive email notifications such as "successful Webadmin login", Executive Reports, etc.

If I hadn't decided to look at the live log, I would have no idea this was happening.


This thread was automatically locked due to age.
Parents
  • 0
    What you're seeing is referred to as slow scanning.  It is not impossible to catch, however if Snort were configured with such a rule you would probably be chasing down a lot more false positives and likely miss the real threat.  This is because Snort is signature-based.  What you need is a system that is logic-based.

    The recommended defense against slow scan portscanning is the aggregation and logistical analysis of log files.  There are automated systems out there that do just this type of thing (SiteProtector, CS-MARS, McAfee ESM, etc.) but they usually come with a hefty price tag.  They essentially suck in firewall, router, switch, IDS/IPS, and server logs to tie them all together and forensically analyze attack symptoms using logic instead of just signatures.

    Otherwise, you need to do what every firewall administrator does and audit your logs periodically.  If you're getting a deny every 12 seconds from the same IP with incrementing destination ports then Blackhole route the bad actor.  Then go back to reading logs.  Sounds like that is exactly what you did.  You're not alone.
Reply
  • 0
    What you're seeing is referred to as slow scanning.  It is not impossible to catch, however if Snort were configured with such a rule you would probably be chasing down a lot more false positives and likely miss the real threat.  This is because Snort is signature-based.  What you need is a system that is logic-based.

    The recommended defense against slow scan portscanning is the aggregation and logistical analysis of log files.  There are automated systems out there that do just this type of thing (SiteProtector, CS-MARS, McAfee ESM, etc.) but they usually come with a hefty price tag.  They essentially suck in firewall, router, switch, IDS/IPS, and server logs to tie them all together and forensically analyze attack symptoms using logic instead of just signatures.

    Otherwise, you need to do what every firewall administrator does and audit your logs periodically.  If you're getting a deny every 12 seconds from the same IP with incrementing destination ports then Blackhole route the bad actor.  Then go back to reading logs.  Sounds like that is exactly what you did.  You're not alone.
Children
No Data