Para una red que ofrece servicios web, he tenido recomendaciones para incluir en la lista negra un par de puertos DESTINATION entrantes comunes, como UDP 53, para combatir la carga creciente de DDoS. Me pregunto si también tiene sentido poner en la lista negra a los atacantes los puertos de FUENTE también. ¿Cuál es la práctica de la industria?
He probado en Wireshark, desde el punto de un atacante, los puertos de origen salientes y son puertos altos aleatorios. Tanto las solicitudes web legítimas como los análisis maliciosos se originan en puertos de origen aleatorios, por lo que no creo que el defensor pueda bloquear en función de los puertos de origen de los atacantes.
En términos de seguridad, es mejor tener un enfoque de lista blanca en lugar de una lista negra. Como Neil ha señalado claramente, solo debe permitir los puertos para las conexiones entrantes en su firewall que correspondan a los servicios que está proporcionando y que necesitan acceso desde el exterior. Espero que mi respuesta te ayude a comprender mejor la situación.