Nel mio Amazon EC2 ho installato uno sniff per prevenire gli attacchi. Ho osservato alcuni registri TCP Port Scan Source IP è ISP e l'IP di destinazione è 0.0.0.0. Penso che 0.0.0.0 sia usato in una rete locale (routing, trasmissione) ed ecc.
Ma come questa scansione è possibile quando l'IP di destinazione è 0.0.0.0 e come è stato raggiunto nella mia istanza?
Ogni volta che vedi l'indirizzo 0.0.0.0 utilizzato nel campo dell'indirizzo IP della vittima, può essere il risultato di un riepilogo di più indirizzi IP delle vittime.
Se esegui anche l'acquisizione di pacchetti, dai un'occhiata ai pacchetti e vedi qual è il traffico. Sappiamo tutti che lo snort viene facilmente confuso relativamente facilmente da un traffico legittimo che non capisce, ma osservando i pacchetti originali dovrebbe essere più chiaro.
Se non si esegue l'acquisizione di pacchetti, quindi, per un po 'provare a eseguire un'acquisizione di Wireshark e filtrare tutto il traffico con ip.dst == 0.0.0.0 per vedere se è possibile recuperarlo. Questo darà un'idea del tipo di traffico che si sta verificando con quelle proprietà.
Leggi altre domande sui tag attacks