Study of Snort performance in counteracting port scanning techniques

Ukrainian Scientific Journal of Information Security

View Publication Info
 
 
Field Value
 
Title Study of Snort performance in counteracting port scanning techniques
Исследование эффективности Snort в противодействии методам сканирования портов
Дослідження ефективності Snort в протидії методам сканування портів
 
Creator Chumachenko, Kateryna; Kharkiv National University of Radioelectronics, Ukraine
Chumachenko, Dmytro; National Aerospace University «Kharkiv Aviation Insitute», Ukraine
 
Subject Information Security
Snort; port scanning; attack detection; zero-day attack; evasion; information security
UDC 004.457 (045)
Информационная безопасность
Snort; сканирование порта; выявление атаки; атака нулевого дня; техника обхода; информационная безопасность
UDC 004.457 (045)
Інформаційна безпека
Snort; сканування порту; виявлення атаки; атака нульового дня; техніка обходу; інформаційна безпека
UDC 004.457 (045)
 
Description Snort Intrusion Detection System became the de-facto standard among the software-based Intrusion Detection Systems because of the high level of customization and the relative ease of use. However, it is essential for an Intrusion Detection System not only to prevent the known attacks, but also to detect zero-day attacks and their preceding steps, such as port scans. A lot of companies neglect the security measures, associated with the prevention of the steps, preceding the attack, such as port scans. This article analyzes the performance of Snort in relation to detecting various port scanning methods and common evasion techniques, as well as the configurations that lead to the best performance. Port scanning prevention is discussed in the context of the nmap service and all the scanning techniques associated with it. Moreover, a packet defragmentation technique is discussed as the evasion technique, as well as the ways of the evasion detection. The article includes the recommendations for configuration of the Snort Intrusion Detection System for effective detection of the port scanning attacks.
Система обнаружения вторжений Snort стала де-факто стандартом среди систем обнаружения вторжений на основе программного обеспечения из-за высокого уровня настраиваемости и относительной простоты конфигурации. Тем не менее, она является исключительно важной системой обнаружения вторжений не только для предотвращения известных атак, но и для обнаружения атак нулевого дня и предшествующих им действий, таких как сканирование портов. Тем не менее, как компании, так и исследования часто пренебрегают мерами безопасности, необходимыми для предотвращения предшествующих действий, таких как сканирование портов. В данной статье исследуются эффективность Snort в отношении обнаружения различных методов сканирования портов и популярных техник обхода, а также конфигурации, которые приводят к лучшей производительности. Предотвращение сканирования портов рассмотрено в контексте стандартного сервиса nmap и всех методов сканирования, доступных в данном продукте. Также рассмотрен такой метод предотвращения обнаружения как дефрагментация пакета, а также пути блокировки данного метода обхода обнаружения. Статья включает в себя рекомендации по конфигурации системы Snort для эффективного обнаружения атак сканирования портов.
Система виявлення вторгнень Snort стала де-факто стандартом серед систем виявлення вторгнень на основі програмного забезпечення через високий рівень настроюваності і відносну простоту конфігурації. Тим не менш, вона є виключно важливою системою виявлення вторгнень не тільки для запобігання відомих атак, але і для виявлення атак нульового дня і попередніх їм дій, таких як сканування портів. Проте, як компанії, так і дослідження часто нехтують заходами безпеки, необхідними для запобігання попередніх дій, таких як сканування портів. У даній статті досліджуються ефективність Snort щодо виявлення різних методів сканування портів і популярних технік обходу, а також конфігурації, які призводять до кращої продуктивності. Запобігання сканування портів розглянуто в контексті стандартного сервісу nmap і всіх методів сканування, доступних в даному продукті. Так само розглянуто такий метод запобігання виявлення як дефрагментація пакета, а також шляхи блокування цього методу обходу виявлення. Стаття включає в себе рекомендації по конфігурації системи Snort для ефективного виявлення атак сканування портів.
 
Publisher Національний авіаційний університет
 
Contributor


 
Date 2017-06-16
 
Type


 
Format application/pdf
 
Identifier http://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/11546
10.18372/2225-5036.23.11546
 
Source Безпека інформації; Том 23, № 1 (2017); 15-18
Безопасность информации; Том 23, № 1 (2017); 15-18
Ukrainian Scientific Journal of Information Security; Том 23, № 1 (2017); 15-18
 
Language en
 
Relation http://jrnl.nau.edu.ua/index.php/Infosecurity/article/downloadSuppFile/11546/29984
 

Contact Us

The PKP Index is an initiative of the Public Knowledge Project.

For PKP Publishing Services please use the PKP|PS contact form.

For support with PKP software we encourage users to consult our wiki for documentation and search our support forums.

For any other correspondence feel free to contact us using the PKP contact form.

Find Us

Twitter

Copyright © 2015-2016 Simon Fraser University Library