Por qué obtengo registros de direcciones IP Clase E (Investigación - Reservado), y mi IPS está bloqueado con el nombre de amenaza "Dirección IP falsificada"

3

Fuente: 252.205.75.128

Destino: 221.58.178.105

Ambas direcciones IP no nos pertenecen. La dirección fue entrante. ¿Cómo es esto posible?

Entonces, ¿por qué estas direcciones IP se enrutan a mi red?

    
pregunta user95437 10.01.2017 - 11:46
fuente

2 respuestas

2

Escanear en sus dispositivos de límites desde la Internet pública desde direcciones IP desconocidas es un comportamiento normal. Todo el mundo, desde agencias gubernamentales, institutos de investigación y educación hasta malhechores que buscan hacer daño, está continuamente explorando Internet por una variedad de razones.

Si sus dispositivos de límite o dispositivos de alerta, como su IDS / IPS, lo están solucionando, depende de usted que lo gestione. Puede permitirles que continúen alertándolos o puede desconectarlos una vez que lo haya considerado benigno.

En mi experiencia , es típico que las conexiones denegadas en los dispositivos de frontera se desconecten de las herramientas de alerta, como SIEM o IDS / IPS.

Si no es benigno, entonces querrá / necesitará tomar las medidas correctivas adecuadas según su plan de respuesta a incidentes. Así por ejemplo; Si las IP dentro de su red se están escaneando desde Internet, su IPS está haciendo su trabajo correctamente al alertarle de una posible amenaza, una amenaza que debe investigar y tomar medidas si es necesario.

    
respondido por el TheJulyPlot 10.01.2017 - 17:02
fuente
0

¿Podría haberse ejecutado tcpreplay en una interfaz de red para uno de sus sistemas IDS con un archivo pcap para propósitos de prueba?

    
respondido por el grook5 20.01.2017 - 00:35
fuente

Lea otras preguntas en las etiquetas