Perché sto ricevendo i registri dagli indirizzi IP di Classe E (Ricerca - Riservato) e il mio IPS è bloccato con il nome di minaccia "Indirizzo IP falsificato"

3

Fonte: 252.205.75.128

Destinazione: 221.58.178.105

Entrambi gli IP non ci appartengono. La direzione era in entrata. Com'è possibile?

Allora perché questi indirizzi IP sono indirizzati alla mia rete?

    
posta user95437 10.01.2017 - 11:46
fonte

2 risposte

2

La scansione nei dispositivi di confine da Internet pubblica da IP sconosciuti è un comportamento normale. Tutti, dalle agenzie governative, dagli istituti di ricerca e di istruzione ai cattivi che cercano di fare del male, scansionano continuamente Internet per una serie di motivi.

Se i tuoi dispositivi per i confini o dispositivi di allarme come IDS / IPS stanno finendo in questo modo, è a tua completa disposizione. Puoi consentire loro di continuare a metterti in allerta o puoi modificarlo una volta che hai ritenuto che sia benigno.

Nella mia esperienza è tipico che le connessioni negate sui dispositivi di confine siano disattivate dagli strumenti di avviso come SIEM o IDS / IPS.

Se non è benigno, allora dovrai / devi intraprendere l'azione di rimedio appropriato secondo il piano di risposta agli incidenti. Quindi per esempio; Se gli IP della rete vengono sottoposti a scansione da Internet pubblica, l'IPS sta svolgendo correttamente il proprio lavoro segnalando che si tratta di una potenziale minaccia, una minaccia che si dovrebbe indagare e intervenire se necessario.

    
risposta data 10.01.2017 - 17:02
fonte
0

È possibile che tcpreplay sia stato eseguito su un'interfaccia di rete per uno dei sistemi IDS con un file pcap a scopo di test?

    
risposta data 20.01.2017 - 00:35
fonte

Leggi altre domande sui tag