複数のサーバーに同じIP(どこからでも+ -120の異なるIP)からのXMAS/NULL/SYNパケット(+ -1000パケット/日/サーバー)がたくさんあります。ログとファイアウォールは毎日チェックされ、サーバーは更新されます。
それらのIPと関係がありますか(例:nslookup、whois、IP所有者に文句を言う)?
他に何かすることはありますか?
前もって感謝します
GdDが指摘したように、これらはインターネットに接続されているサーバーに対して日常的に発生する典型的なスキャンアクティビティです。あなたが観察したのと同様に、私は最近、多数のIPアドレスからのX-Masスキャンが急増しているのを見ました。これは、おそらくクリスマスシーズンが近づいているためです。
最初に行うことは、攻撃者がこれらのスキャンから何を見つけることができるかを認識することです。 TCP/UDPスキャンの目的は、サーバーで開いているすべてのポートをマップし、サーバーが使用する可能性のあるOSの種類を判別することです。これらの開いているポートの背後で実行されているサービスを判別するために、さらに偵察が行われる場合があります。
通常、NmapまたはNessusなどのツールを使用して、サーバーで開いているポートをプローブします。これらのツールは、サーバーがそれらに応答して、ポートが次のいずれであるかを確認します。
サーバーがすぐに使用できるファイアウォール構成を使用している場合は、ほとんどの場合、 RFC 79 に準拠しています。スキャナーはファイアウォールに依存して、ポートが開いているか閉じているかを予測可能な方法で応答します。ファイアウォールが非準拠の場合、つまり、ネットワークパケットが拒否されるべきときにドロップされる場合、またはその逆の場合、スキャナーは混乱し、おそらく間違ったレポートを返します。
スキルのレベルに応じて、攻撃者はおとりを展開するか、ゾンビで間接的にスキャンすることにより、自分のIPアドレスをマスクする可能性があります。ドアがロックされているかどうかを確認するのを助けることを恐れることは本当にないので、勇敢にスキャンする臆病者が少なくなることを願っていますが、加害者を根絶することはまったく無駄な試みであり、ほとんどの人は気にしないでしょう。
これは一般的な低レベルのスキャンであり、サーバーが1日に数百または数千のスキャン試行を確認することは珍しくありません。
誰かに通知する必要はありません。実際、そこにいる大多数の人々や企業は何もしません。インターネットへの接続の一部としてスキャンされることを受け入れるだけです。
スキャントラフィックを受信していることをIPブロックのwhoisエントリにメンテナとしてリストされている電子メールアドレスに通知することができます。でも息を止めません。