En mi Amazon EC2 instalé un snort para evitar los ataques. Observé que algunos registros TCP IP de origen de escaneo de puerto es ISP y IP de destino es 0.0.0.0. Creo que se usa 0.0.0.0 en una red local (enrutamiento, transmisión), etc.
¿Pero cómo es posible este escaneo cuando el IP de destino es 0.0.0.0 y cómo se llegó a mi instancia?
Cada vez que vea la dirección 0.0.0.0 utilizada en el campo de dirección IP de la víctima, puede ser el resultado de la síntesis de varias direcciones IP de la víctima.
Si también realiza la captura de paquetes, revise los paquetes y vea cuál fue el tráfico. Todos sabemos que snort se confunde fácilmente con relativa facilidad por el tráfico legítimo que no comprende, pero al observar los paquetes originales, debería ser más claro.
Si no ejecuta la captura de paquetes, entonces, por un tiempo, intente ejecutar una captura y filtro de Wireshark para todo el tráfico con ip.dst == 0.0.0.0 para ver si puede detectarlo de forma recurrente. Esto le dará una idea de qué tipo de tráfico está ocurriendo con esas propiedades.
Lea otras preguntas en las etiquetas attacks