Essere colpiti centinaia o migliaia di volte al giorno è completamente normale, e non me ne preoccuperei affatto. Esistono alcune principali fonti di traffico sospetto:

• Scanner automatici. Un certo numero di organizzazioni "mappa" Internet e produce un sacco di traffico. Lo fanno più o meno a caso. Ho ottenuto molto traffico sulle porte 80 e 443 nonostante non abbia effettivamente ospitato un sito web.
• Sistemi configurati in modo errato. I computer sono pignoli, ed è facile iniziare accidentalmente a disturbare i server di un altro utente.
• Script kiddies. Alcuni attaccanti faranno esplodere un gran numero di potenziali bersagli, sperando di colpire un sistema senza patch.

La porta 53 viene utilizzata per DNS . È possibile che qualcuno stia semplicemente mappando i server DNS. È anche possibile che un utente malintenzionato stia tentando di sfruttare i tuoi sistemi, a patto che tu sia aggiornato sulle patch, tuttavia, si tratta di un problema.

Quindi, per ribadire, non mi preoccuperei affatto di questo. Dovresti preoccuparti se inizi a vedere abbastanza richieste in arrivo per costituire una negazione del servizio, però.

Come diagnosticare se si è sotto una scansione bruta o un attacco mirato?

Se hai la possibilità di farlo, tieni libero un pubblico specifico @IP all'interno della tua rete. Registralo correttamente sul DNS come un nome tipico per un web server. Ma non attribuire questo @IP a qualsiasi macchina reale all'interno della rete. Voglio dire, non arrivare al punto di creare un vaso di miele, basta creare una trappola @IP.

Successivamente, inserisci una regola specifica sul firewall per bloccare e registrare qualsiasi traffico verso questo @IP (qualcosa come deny ip any any log ).

IF ottieni molto traffico verso questa trappola @IP,

THEN sei l'obiettivo degli scanner o il bersaglio degli scanner prima di un vero attacco,

guarda le porte tipiche scansionate sulla tua trapp @IP in modo da essere in grado di eliminarle dai tuoi file di log del firewall per concentrarti sugli attacchi reali

ELSE si è probabilmente con un attacco più mirato.

È difficile sapere se sei stato preso di mira in modo specifico. È molto probabile che si venga colpiti da scansioni automatiche che possono essere ignorate a condizione che il firewall sia stato configurato per bloccare tutto il traffico in entrata. Gli attacchi di phishing e le connessioni in uscita verso siti dannosi sono molto più gravi in quanto hanno maggiori probabilità di successo. Ecco una buona guida sui tipi popolari di attacchi che hanno successo e quindi ampiamente impiegati: link

1. Tieni aggiornato il firewall
2. Utilizza altri prodotti di sicurezza come IDS / IPS / SIEM per controllare eventuali anomalie