いくつかの珍しいTCPスキャンされるポートは他よりも少ないですか?
一般にポートスキャナーの対象となる一般的なサービスの上位5〜10%のポート番号(つまり、ポート22-ssh、23-telnet、80-http、139-smb/cifs、443-https、3389-rdp、など)、ポート番号のバランスは統計的にランダムな方法でスキャンされていますか?
言い換えると、ランダムIP(つまり、直接的な攻撃のターゲットではない誰かのIP)に対して、スキャンされる可能性が高いまたは低い可能性のあるポートまたはポートの範囲がありますか?
ランダムIPのポートスキャンに関する統計を追跡するハニーポットはありますか?
間違いなく。ポートのリストとポートが開かれる可能性については、 http://nmap.org/svn/nmap-services を参照してください。
Nmapには、それに関連する2つのオプションがあります。
--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>
他の方法には、1024未満のポートが含まれ、/ etc/servicesファイルなどにリストされます。 "デフォルトでは、Nmapは各プロトコルの最も一般的な1000ポートをスキャンします。 "私はnmapをデフォルトのツールと考えていますが、他にも十分一般的なツールがあります。
多数のポート(49152–65535 ...未登録リスト)がスキャンされる可能性が最も低いと思います。参照 http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
統計を生成する以外に、決定論的な比率のスキャンと比較して統計的にランダムなスキャンが役立つとは思いもしませんし、そのようなことを聞いたことがありません。
ハニーポット側からのいくつかの統計については、そこに論文があります。 http://cseweb.ucsd.edu/~clbailey/PortScans.pdf がその例です。
攻撃者がポートスキャンを実行する方法は、最初に既知のエクスプロイトまたは一般に弱い保護を持つユーザーをターゲットにすることです。
http://www.iss.net/security_center/advice/Exploits/Ports/default.htm のリストは、1つの典型的なリストです。
確かに、ポート範囲全体に対応するスキャナーがいくつかありますが、これは効果がはるかに低いため、このリストは最もスキャンされたポートのかなり良い指標になります。
@RoryAlsopの回答に加えて、NMAPプロジェクトはポートのリストを維持し、ポートが開かれていることがわかる可能性がある here 、
DShieldの Port Report には、探している情報が含まれている場合があります。 DShieldはボランティアからファイアウォールログを収集し、ログの要約データをコミュニティに提供します。
ポート番号のバランスは統計的にランダムにスキャンされますか?
いいえ、スキャンが「既知のサービス」の段階を過ぎても継続する場合、ユーザーが指定したポートの範囲をスキャンするだけです。ユーザーは「ランダムな」ポート範囲を指定できます-「10,000-12,000および27,000-29,000を確認しましょう」-これは統計的にランダムではなく、ユーザーが選択したいくつかの任意のブロックです。
あなたが不思議に思っているスキャンの種類、空間全体にわたる個々のポートの統計的にランダムな分布は、数学的にすべてのポートのブルートフォーススキャンよりも優れているとは考えられず、ヒット率が低下する可能性があります(高速ですが、ハハ)。私の知る限りでは、「ランダムにスキャンする」設定を実装するツールはありません。
セキュリティは、多くの場合、猫とマウスのゲームです。一部の賢い人々は、めったにスキャンされないポートに自分の重要なプライベートサービスを提供する可能性があります。したがって、賢い人々が隠しているものを何でも追いかけるいくつかの賢いスキャナーは、他の人がめったにスキャンしないポートを優先的に見ることが期待されるかもしれません。