Perché il sistema di rilevamento delle intrusioni di IBM mostra gli IP locali invece degli IP pubblici per l'origine di un attacco?

0

Security Intern qui dato l'incarico di trovare l'indirizzo IP di un utente malintenzionato utilizzando IDS di IBM.

L'evento o l'attacco in questione è intitolato X509_Weak_Signature_Algorithm , e da quello che ho capito, questo attacco comporta lo sfruttamento di MD5 per generare certificati canaglia per compromettere i nostri server.

Quando vado a controllare un singolo registro degli eventi, ho notato che l'indirizzo IP dell'attaccante è un IP locale di classe A.

Non dovrebbe essere un indirizzo IP pubblico perché siamo attaccati da un host esterno?

    
posta InfoSecNoob 09.10.2014 - 23:13
fonte

1 risposta

2

Questo è non un attacco

L'IDS ti sta semplicemente dicendo che hai un certificato SSL con un algoritmo debole. maggiori informazioni

L'indirizzo IP è l'indirizzo del tuo server interno, che ha il certificato debole.

    
risposta data 10.10.2014 - 10:45
fonte

Leggi altre domande sui tag