web-dev-qa-db-ja.com

「通常のインターネット」ポートスキャンとより「深刻な」ポートスキャン準備攻撃を区別する方法は?

ファイアウォール、ルーター、サーバーがSIEMによって監視されている完全なネットワークインフラストラクチャでは、LogPointがここにあります。もちろん、プライベートネットワークとパブリックサーバーがあります。

logPointには、「ポートスキャン」と呼ばれるアラートがあり、1つのソースが5分間に100の異なるポートで1つの宛先にヒットするたびにトリガーされます。

これらのログを使用して、インターネットで毎日発生する「通常の」ポートスキャンと、攻撃の準備になる可能性があり、より「深刻な」ポートスキャンであるポートスキャンをどのように区別しますか。

4
BR.Hamza

ないのでできません。ポートスキャンが次の場合を除きます。

  1. あなたが開始しました。
  2. リクエストに応じて、またはセキュリティパートナーが代理で開始します。

悪意があります。必要に応じてそれらをブロックできます。ポートスキャンの唯一の目的は、悪意のあるなしに関わらず、インターネットに面したゲートウェイの弱点や脆弱なサービスを見つけることです。あなたまたはパートナーがそれをするなら、それはあなたの姿勢を強化するのを助けることです。他の誰かがそれを行う場合は、攻撃する価値があるかどうか、およびその攻撃を最も効果的に開始する方法を決定することです。