Recientemente, he visto que he recibido aproximadamente 40 aciertos en un segundo para la siguiente identificación de la regla de Snort 1: 16008 , que corresponde al CVE-2007- 6239 : "... permite a los atacantes remotos causar una denegación de servicio (bloqueo) a través de vectores desconocidos relacionados con los encabezados HTTP ...". Tanto las IP de origen como las de destino son IP internas (privadas).
¿Qué dice la sabiduría general a este respecto? - ¿Deberían tomarse en serio esos golpes puntuales y tomarse alguna acción, como bloquear la IP de origen? (bueno, simplemente ejecuto Snort en modo IDS, así que no puedo tomar ninguna acción, pero quería saber esto para comprenderlo mejor) O los administradores generalmente esperan para ver los golpes repetidos antes de decidir que esto no es un disparador falso sino un alerta real?
A continuación, poniéndome en la piel del administrador de la red, ¿tengo que hacer algo? Entiendo que este podría ser un poco difícil de responder con la información limitada que tengo, pero espero tener una idea: compruebe las máquinas para ver si hay alguna posibilidad de que se vea comprometido, bloquee temporalmente el tráfico a las direcciones IP, etc. ...