¿Cómo distinguir entre el escaneo de puertos de “internet normal” y el escaneo de puertos más “serio” para preparar un ataque?

4

En una infraestructura de red completa, con firewalls, enrutadores, servidores supervisados por un SIEM, LogPoint aquí. Por supuesto, hay una red privada y servidores públicos.

en el LogPoint hay una alerta llamada "escaneo de puertos" que se activa cuando una fuente llega a un destino en 100 puertos diferentes en 5 minutos.

Con estos registros ¿Cómo distinguiría el escaneo de puertos "normal" que ocurre todos los días en Internet, y el escaneo de puertos que puede ser una preparación para un ataque y es un escaneo de puertos más "serio"?

    
pregunta BR.Hamza 05.04.2018 - 17:27
fuente

1 respuesta

3

No puedes porque no hay uno. A menos que un escaneo de puerto sea:

  1. iniciado por ti.
  2. Iniciado en su solicitud o nombre por un socio de seguridad.

Es malicioso. Puedes bloquearlos como desees. El único propósito de los análisis de puertos, malintencionados o no, es encontrar debilidades y servicios vulnerables en su puerta de enlace de Internet. Si usted o un compañero lo hacen, es para ayudarlo a fortalecer su postura. Si alguien más lo hace, es para determinar si vale la pena atacar y cómo lanzar mejor ese ataque.

    
respondido por el Adonalsium 05.04.2018 - 19:01
fuente

Lea otras preguntas en las etiquetas