Ho molti pacchetti XMAS / NULL / SYN (+ -1000 pacchetti / giorno / server) dagli stessi IP (+ -120 diversi IP da qualsiasi luogo) su più server. Log e firewall vengono controllati quotidianamente e i server vengono aggiornati.
Ho qualcosa a che fare con questi IP (ad esempio nslookup, whois, protesti i proprietari ip)?
Qualcos'altro da fare?
Grazie in anticipo
Come sottolineato da GdD, queste sono solo le tipiche attività di scansione che si verificano quotidianamente per i server connessi a Internet. Simile a quello che hai osservato, ho visto un recente aumento delle scansioni X-Mas da un gran numero di indirizzi IP, probabilmente perché è vicino alle festività natalizie.
La prima cosa da fare è riconoscere ciò che l'aggressore può scoprire da questa scansione. L'obiettivo della scansione TCP / UDP è di mappare tutte le porte aperte sul server e determinare quale tipo di SO è probabile che il server utilizzi. Ulteriori ricognizioni possono essere condotte per determinare quali servizi sono in esecuzione dietro quelle porte aperte.
Normalmente, strumenti come Nmap o Nessus verrebbero utilizzati per sondare il tuo server per le porte aperte. Questi strumenti si basano sul server che risponde a loro per scoprire se una porta è:
Se il tuo server utilizza una configurazione firewall pronta all'uso, allora più probabile che no, sarà conforme a RFC 793 . Gli scanner fanno affidamento sui firewall per rispondere in modo prevedibile per scoprire se una porta è aperta o chiusa. Se il firewall non è conforme, i pacchetti di rete vengono rilasciati quando devono essere rifiutati, o viceversa, quindi gli scanner si confondono e probabilmente danno un rapporto sbagliato.
A seconda del livello di abilità, l'attaccante può mascherare il suo indirizzo IP distribuendo gli esagoni o eseguendo la scansione indirettamente con gli zombi. Anche se spero che ci siano meno vigliacchi là fuori che scansionano coraggiosamente perché non c'è davvero nulla da temere nell'aiutare le persone a controllare se la loro porta è chiusa, è un tentativo piuttosto inutile di sradicare i perpetratori e la maggior parte della gente non si preoccuperebbe nemmeno. p>
Questa è la tipica scansione di basso livello, non è raro che i server vedano centinaia o migliaia di tentativi di scansione al giorno.
Non sei obbligato a notificare nessuno, infatti la maggior parte delle persone e delle aziende non intraprende alcuna azione, accetta solo di essere scansionato come parte della connessione a Internet.
È possibile notificare l'indirizzo e-mail elencato come manutentore nella voce whois per il blocco IP che si sta ricevendo il traffico di scansione, chissà, potrebbero addirittura risolverlo. Non trattenerei il respiro però.
Leggi altre domande sui tag reconnaissance countermeasure