Il sistema di prevenzione delle intrusioni mi sta dando un attacco con la firma 3032, TCP FIN Host Sweep su uno degli indirizzi IP. Ho bisogno di una soluzione o di una raccomandazione su come evitare TCP FIN Host Sweep.
(Siamo spiacenti, non mi ero accorto che hai segnalato due diverse firme).
Firma 3032 è una scansione (possibilmente innocua se dalla rete interna). Se la fonte di attacco si trova al di fuori del perimetro, trattala come firma 3036, di seguito. Altrimenti, puoi tranquillamente ignorarlo.
Firma 3036 è lo sweep host "SYN FIN". Significa che il tuo sistema sta vedendo pacchetti anomali provenienti da Internet, e non c'è molto che puoi fare a riguardo, tranne forse lamentarti con gli amministratori di sistema delle reti di origine ... se riesci a trovarli.
Tali pacchetti non sono un rischio, in quanto non hanno alcun effetto negativo sugli host mirati. Possono essere utilizzati per ottenere una risposta e determinare quali servizi sono in esecuzione sugli host di destinazione.
Puoi bloccare il traffico in entrata dai sistemi che eseguono tali sweep.
Questo fermerà ulteriori attività da quegli host, ma a meno che non siano neofiti, gli host di scansione e gli host attaccanti (se presenti) non saranno gli stessi , forse nemmeno dallo stesso paese. Un utente malintenzionato potrebbe utilizzare un sistema spendibile, suddiviso in schiavitù e in un altro paese come scanner e blocco. Anche così, bloccare gli host di origine può essere utile in quanto gli aggressori vedranno che sono stati rilevati e potrebbero decidere di portare la loro abitudine altrove; e se lo scanner è esso stesso un sistema sfruttato, avvisando gli amministratori permetterà loro di ripulirlo. Potrebbero anche iniziare le indagini e il perseguimento delle parti responsabili senza ulteriori sforzi da parte tua (in alcuni paesi puoi contare su di esso, in altri, dimenticarlo).
potresti avere un'idea di ciò che gli attaccanti cercano dopo le porte che hanno scelto come target e potrebbe voler eseguire un controllo dei servizi esposti per valutarne la vulnerabilità. Ma fai questo per i tutti servizi esposti: non fare affidamento sul fatto che una porta non scandita verrà lasciata in pace.
Leggi altre domande sui tag attack-prevention ids