Come è possibile ricevere le scansioni delle porte con IP 0.0.0.0 di destinazione?

-1

Nel mio Amazon EC2 ho installato uno sniff per prevenire gli attacchi. Ho osservato alcuni registri TCP Port Scan Source IP è ISP e l'IP di destinazione è 0.0.0.0. Penso che 0.0.0.0 sia usato in una rete locale (routing, trasmissione) ed ecc.

Ma come questa scansione è possibile quando l'IP di destinazione è 0.0.0.0 e come è stato raggiunto nella mia istanza?

    
posta Venkatesh Chinta 29.03.2016 - 11:27
fonte

2 risposte

3

Ogni volta che vedi l'indirizzo 0.0.0.0 utilizzato nel campo dell'indirizzo IP della vittima, può essere il risultato di un riepilogo di più indirizzi IP delle vittime.

    
risposta data 29.03.2016 - 15:10
fonte
0

Se esegui anche l'acquisizione di pacchetti, dai un'occhiata ai pacchetti e vedi qual è il traffico. Sappiamo tutti che lo snort viene facilmente confuso relativamente facilmente da un traffico legittimo che non capisce, ma osservando i pacchetti originali dovrebbe essere più chiaro.

Se non si esegue l'acquisizione di pacchetti, quindi, per un po 'provare a eseguire un'acquisizione di Wireshark e filtrare tutto il traffico con ip.dst == 0.0.0.0 per vedere se è possibile recuperarlo. Questo darà un'idea del tipo di traffico che si sta verificando con quelle proprietà.

    
risposta data 29.03.2016 - 14:08
fonte

Leggi altre domande sui tag