Fuente: 252.205.75.128
Destino: 221.58.178.105
Ambas direcciones IP no nos pertenecen. La dirección fue entrante. ¿Cómo es esto posible?
Entonces, ¿por qué estas direcciones IP se enrutan a mi red?
Escanear en sus dispositivos de límites desde la Internet pública desde direcciones IP desconocidas es un comportamiento normal. Todo el mundo, desde agencias gubernamentales, institutos de investigación y educación hasta malhechores que buscan hacer daño, está continuamente explorando Internet por una variedad de razones.
Si sus dispositivos de límite o dispositivos de alerta, como su IDS / IPS, lo están solucionando, depende de usted que lo gestione. Puede permitirles que continúen alertándolos o puede desconectarlos una vez que lo haya considerado benigno.
En mi experiencia , es típico que las conexiones denegadas en los dispositivos de frontera se desconecten de las herramientas de alerta, como SIEM o IDS / IPS.
Si no es benigno, entonces querrá / necesitará tomar las medidas correctivas adecuadas según su plan de respuesta a incidentes. Así por ejemplo; Si las IP dentro de su red se están escaneando desde Internet, su IPS está haciendo su trabajo correctamente al alertarle de una posible amenaza, una amenaza que debe investigar y tomar medidas si es necesario.
Lea otras preguntas en las etiquetas ip-spoofing ids