Por qué obtengo registros de direcciones IP Clase E (Investigación - Reservado), y mi IPS está bloqueado con el nombre de amenaza "Dirección IP falsificada"

Escanear en sus dispositivos de límites desde la Internet pública desde direcciones IP desconocidas es un comportamiento normal. Todo el mundo, desde agencias gubernamentales, institutos de investigación y educación hasta malhechores que buscan hacer daño, está continuamente explorando Internet por una variedad de razones.

Si sus dispositivos de límite o dispositivos de alerta, como su IDS / IPS, lo están solucionando, depende de usted que lo gestione. Puede permitirles que continúen alertándolos o puede desconectarlos una vez que lo haya considerado benigno.

En mi experiencia , es típico que las conexiones denegadas en los dispositivos de frontera se desconecten de las herramientas de alerta, como SIEM o IDS / IPS.

Si no es benigno, entonces querrá / necesitará tomar las medidas correctivas adecuadas según su plan de respuesta a incidentes. Así por ejemplo; Si las IP dentro de su red se están escaneando desde Internet, su IPS está haciendo su trabajo correctamente al alertarle de una posible amenaza, una amenaza que debe investigar y tomar medidas si es necesario.

¿Podría haberse ejecutado tcpreplay en una interfaz de red para uno de sus sistemas IDS con un archivo pcap para propósitos de prueba?