Perché sto ricevendo i registri dagli indirizzi IP di Classe E (Ricerca - Riservato) e il mio IPS è bloccato con il nome di minaccia "Indirizzo IP falsificato"

La scansione nei dispositivi di confine da Internet pubblica da IP sconosciuti è un comportamento normale. Tutti, dalle agenzie governative, dagli istituti di ricerca e di istruzione ai cattivi che cercano di fare del male, scansionano continuamente Internet per una serie di motivi.

Se i tuoi dispositivi per i confini o dispositivi di allarme come IDS / IPS stanno finendo in questo modo, è a tua completa disposizione. Puoi consentire loro di continuare a metterti in allerta o puoi modificarlo una volta che hai ritenuto che sia benigno.

Nella mia esperienza è tipico che le connessioni negate sui dispositivi di confine siano disattivate dagli strumenti di avviso come SIEM o IDS / IPS.

Se non è benigno, allora dovrai / devi intraprendere l'azione di rimedio appropriato secondo il piano di risposta agli incidenti. Quindi per esempio; Se gli IP della rete vengono sottoposti a scansione da Internet pubblica, l'IPS sta svolgendo correttamente il proprio lavoro segnalando che si tratta di una potenziale minaccia, una minaccia che si dovrebbe indagare e intervenire se necessario.

È possibile che tcpreplay sia stato eseguito su un'interfaccia di rete per uno dei sistemi IDS con un file pcap a scopo di test?