Wykrywanie skanowania portów

Skanowanie portów jest często wykorzystywane przez atakujących do identyfikacji otwartych usług na serwerze.

Metody wykrywania skanowania portów:

• Skanowanie SYN (TCP SYN Scan) – rozpoznawanie prób nawiązania połączeń:
  tcp.flags.syn == 1 and tcp.flags.ack == 0
• Skanowanie FIN (TCP FIN Scan) – próby obejścia firewalli:
  tcp.flags.fin == 1 and tcp.flags.ack == 0
• Skanowanie portów UDP – wykrywanie nieznanych usług:
  udp and frame.len < 100