Come distinguere tra la scansione della porta "normale internet" e la scansione della porta "seria" più preparando l'attacco?

Naviga le tue risposte
4

In un'infrastruttura di rete completa, con firewall, router, server supervisionati da un SIEM, LogPoint qui. Certo, c'è una rete privata e server pubblici.

nel LogPoint è presente un avviso chiamato "scansioni della porta" che viene attivato ogni volta che una sorgente raggiunge una destinazione su 100 porte diverse in 5 minuti.

Con questi registri Come distinguere la normale scansione delle porte che avviene ogni giorno su Internet e la scansione delle porte che può essere una preparazione per un attacco e una scansione delle porte più "seria".

    
posta BR.Hamza 05.04.2018 - 17:27
fonte

1 risposta

3

Non puoi perché non ce n'è uno. A meno che non sia una scansione delle porte:

  1. Iniziato da te.
  2. Avviato su richiesta o nome da un partner di sicurezza.

È dannoso. Puoi bloccarli come desideri. L'unico scopo delle scansioni di porte, dannose o meno, è quello di trovare punti deboli e servizi vulnerabili nel gateway di fronte a Internet. Se tu o un partner lo fai, è per aiutarti a rafforzare la tua postura. Se lo fa qualcun altro, è per determinare se vale la pena attaccare e come lanciare l'attacco in modo ottimale.

    
risposta data 05.04.2018 - 19:01
fonte

Leggi altre domande sui tag

Perché il mio desktop di Windows utilizza un server DNS su localhost? S / MIME firma e verifica - come trovo il certificato corretto?