Recentemente ho visto circa 40 hit in un secondo per la seguente regola Snort - signature id 1: 16008 , che corrisponde al CVE-2007- 6239 : "... consente agli autori di attacchi in remoto di causare un Denial of Service (arresto anomalo) tramite i vettori sconosciuti relativi alle intestazioni HTTP ...". Sia gli IP di origine che di destinazione sono IP interni (privati).
Che cosa dice la saggezza generale a questo riguardo? - questi hit una tantum devono essere presi seriamente e devono essere intraprese alcune azioni, come bloccare l'IP sorgente? (beh, ho appena eseguito Snort in modalità IDS, quindi non posso fare alcuna azione, ma volevo sapere questo per avere più comprensione di questo) O gli Admins dovrebbero di solito aspettare di vedere i colpi ripetuti prima di decidere che questo non è un falso trigger ma un avviso vero?
Quindi, mettendomi nei panni dell'amministratore di rete, devo fare qualcosa? Capisco che questo potrebbe essere un po 'difficile rispondere con le informazioni limitate che ho, ma spero di avere qualche idea - controllare le macchine per una possibilità di essere compromesso, bloccare temporaneamente il traffico verso gli indirizzi IP ecc ...