I pericoli del traffico di scansione di botnet?

3

Ci sono dei pericoli nel vedere piccole quantità di traffico botnet / malware associato al crawling della tua infrastruttura pubblica? Per esempio vedere lo stesso IP associato a malware che fa diversi tentativi di connessione a oltre 1000 IP pubblici.

Sono a conoscenza dei tipi di attacchi DDoS, ma non sta succedendo qui. Il mio pensiero iniziale è che è solo un'attività di scansione di routine, ma mi piacerebbe avere alcune prospettive diverse per vedere se c'è qualcosa di semplice che mi manca.

    
posta Daze 07.04.2017 - 14:33
fonte

1 risposta

3

Questo tipo di traffico è abbastanza normale e molto difficile da sopprimere. Potresti provare a configurare un sistema automatico per eliminare le connessioni da domini / indirizzi IP con cui non hai alcuna associazione, ma al giorno d'oggi molti attacchi provengono da fornitori di servizi cloud a cui probabilmente hai altre connessioni critiche.

Utilizzerei questo traffico come stimolo per rivedere i sistemi che guardano all'esterno e confermare che sono corretti e sicuri quanto è possibile crearli. Se hai tempo e risorse, potresti prendere in considerazione la creazione di un honeypot, per ottenere maggiori informazioni su quale tipo di sonde e attacchi sono stati tentati contro i tuoi sistemi - ciò può aiutarti a proteggere meglio i tuoi sistemi.

Continua a rivedere i tuoi registri!

    
risposta data 07.04.2017 - 21:47
fonte

Leggi altre domande sui tag