ネットワークとポートスキャンの条件 (クラシック)

Nexthink ソリューションは、次の条件が満たされると、接続のセットをネットワークまたはポートスキャンとして識別します。

• 単一のプロセスがすべての接続を開始します。

• 各接続の間が90秒以下です。

• 接続のセットには少なくとも50の接続が含まれています。

• 接続のセットには失敗した接続しか含まれていません。

最後の条件を含める理由は、スキャン操作が通常、接続試行の大半を完了しないためです。 スキャンはすべてのポートまたは宛先をテストするため、システムはほとんどの接続を拒否します。 この最後の条件を表現する方法は、接続のトランスポートプロトコルによります。 TCP の場合、接続のステータスは直接、接続が失敗したかどうかを示します。 しかし、UDP の場合、接続の明確な状況はありません。 したがって、Nexthink は、多くの小さな UDP パケットが短期間に送信されると UDP スキャンを疑います。

TCP セット内のすべての接続が失敗しています。

UDP 送信される各パケットのサイズは10KB未満です。 全スキャンの総時間は15分未満です。

要約すると、以下は見つかるすべての種類のネットワークおよびポートスキャンリストです。

TCP ネットワークスキャン プロセスが少なくとも50の宛先の同じポートに対して一連の失敗した TCP 接続を開始します。

UDP ネットワークスキャン プロセスが15分以内に少なくとも50の宛先の同じポートに小さな UDP データグラムを一連に送信します。

TCP ポートスキャン プロセスが同じ宛先の少なくとも50のポートに対して一連の失敗した TCP 接続を開始します。

UDP ポートスキャン プロセスが15分以内に同じ宛先の少なくとも50のポートに小さな UDP データグラムを一連に送信します。