Tengo muchos paquetes XMAS / NULL / SYN (+ -1000 paquetes / día / servidor) de las mismas IPs (+ -120 IP diferentes desde cualquier lugar) en múltiples servidores. Los registros y los firewalls se verifican diariamente y los servidores se actualizan.
¿Tengo algo que ver con esos ips (por ejemplo, nslookup, whois, quejarme con los propietarios de ip)?
¿Algo más que hacer?
Gracias de antemano
Como señaló GdD, estas son solo actividades típicas de escaneo que ocurren diariamente para los servidores que están conectados a Internet. De forma similar a lo que has observado, he visto un aumento reciente en los escaneos de X-Mas desde una gran cantidad de direcciones IP, probablemente porque está cerca de la temporada festiva.
Lo primero que debe hacer es reconocer lo que el atacante puede descubrir en estos análisis. El objetivo del escaneo TCP / UDP es mapear todos los puertos que están abiertos en el servidor y determinar qué tipo de sistema operativo es probable que esté utilizando su servidor. Se pueden realizar más reconocimientos para determinar qué servicios se están ejecutando detrás de esos puertos abiertos.
Normalmente, las herramientas como Nmap o Nessus se usarían para sondear su servidor en busca de puertos abiertos. Estas herramientas se basan en que su servidor responda a ellas para averiguar si un puerto es:
Si su servidor usa una configuración de firewall lista para usar, entonces es más probable que sea compatible con RFC 793 . Los escáneres confían en los cortafuegos para responder de una manera predecible para averiguar si un puerto está abierto o cerrado. Si su firewall no es compatible, es decir, los paquetes de red se eliminan cuando deberían rechazarse, o viceversa, entonces los escáneres se confundirán y probablemente den un informe incorrecto.
Dependiendo del nivel de habilidades, su atacante puede enmascarar su dirección IP desplegando señuelos o escaneando indirectamente con zombies. Aunque espero que haya menos cobardes por ahí que escudriñen valientemente porque realmente no hay nada que temer que ayuden a las personas a verificar si su puerta está cerrada con llave, es un intento inútil de erradicar a los perpetradores y la mayoría de la gente ni siquiera se molestaría. p>
Este es un escaneo de bajo nivel típico, no es raro que los servidores vean cientos o miles de intentos de escaneo por día.
No está obligado a notificar a nadie, de hecho, la mayoría de las personas y empresas no toman medidas, solo aceptan ser escaneadas como parte de la conexión a Internet.
Puede notificar a la dirección de correo electrónico que figura como mantenedor en la entrada de whois para el bloqueo de IP que está recibiendo tráfico de escaneo, quién sabe, incluso pueden repararlo. Aunque no aguantaría la respiración.
Lea otras preguntas en las etiquetas reconnaissance countermeasure