Soluciones para TCP FIN Host Sweep (Firma 3032)

(Lo sentimos, no había notado que informaste dos firmas diferentes).

Signature 3032 es un escaneo (posiblemente inofensivo desde la red interna). Si la fuente de ataque está fuera de su perímetro, trátela como Signature 3036, a continuación. De lo contrario, puedes ignorarlo de forma segura.

Signature 3036 es "SYN FIN" barrido de host. Significa que su sistema está viendo paquetes anómalos provenientes de Internet, y no hay mucho que pueda hacer al respecto, excepto quizás quejarse con los administradores del sistema de las redes de origen ... si puede encontrarlos.

Tales paquetes no son un riesgo, ya que no tienen ningún efecto negativo en los hosts seleccionados. Se pueden usar para obtener una respuesta y determinar qué servicios se ejecutan en los hosts de destino.

Puede bloquear el tráfico entrante de los sistemas que realizan dichos barridos.

Esto detendrá la actividad de esos hosts, pero a menos que sean novatos, los hosts de escaneo y los hosts atacantes (si hay alguno) no serán lo mismo , Posiblemente ni siquiera del mismo país. Un atacante podría usar un sistema prescindible, roto y esclavizado en otro país como escáner y de corte. Aun así, el bloqueo de los hosts de origen puede ser útil ya que los atacantes verán que han sido detectados y podrían decidir llevar su costumbre a otra parte; y si el escáner es en sí mismo un sistema explotado, alertar a los administradores les permitirá limpiarlo. Incluso pueden iniciar la investigación y el procesamiento de las partes responsables sin ningún esfuerzo adicional por su parte (en algunos países, puede contar con ello; en otros, olvídelo).

Usted podría tener una idea de qué persiguen los atacantes de los puertos a los que se ha dirigido, y podría querer realizar una auditoría de los servicios expuestos para evaluar su vulnerabilidad. Pero haga esto para todos servicios expuestos: no confíe en el hecho de que se dejará solo un puerto no escaneado.