Fonte: 252.205.75.128
Destinazione: 221.58.178.105
Entrambi gli IP non ci appartengono. La direzione era in entrata. Com'è possibile?
Allora perché questi indirizzi IP sono indirizzati alla mia rete?
La scansione nei dispositivi di confine da Internet pubblica da IP sconosciuti è un comportamento normale. Tutti, dalle agenzie governative, dagli istituti di ricerca e di istruzione ai cattivi che cercano di fare del male, scansionano continuamente Internet per una serie di motivi.
Se i tuoi dispositivi per i confini o dispositivi di allarme come IDS / IPS stanno finendo in questo modo, è a tua completa disposizione. Puoi consentire loro di continuare a metterti in allerta o puoi modificarlo una volta che hai ritenuto che sia benigno.
Nella mia esperienza è tipico che le connessioni negate sui dispositivi di confine siano disattivate dagli strumenti di avviso come SIEM o IDS / IPS.
Se non è benigno, allora dovrai / devi intraprendere l'azione di rimedio appropriato secondo il piano di risposta agli incidenti. Quindi per esempio; Se gli IP della rete vengono sottoposti a scansione da Internet pubblica, l'IPS sta svolgendo correttamente il proprio lavoro segnalando che si tratta di una potenziale minaccia, una minaccia che si dovrebbe indagare e intervenire se necessario.
È possibile che tcpreplay
sia stato eseguito su un'interfaccia di rete per uno dei sistemi IDS con un file pcap a scopo di test?
Leggi altre domande sui tag ip-spoofing ids