偵察対策

GdDが指摘したように、これらはインターネットに接続されているサーバーに対して日常的に発生する典型的なスキャンアクティビティです。あなたが観察したのと同様に、私は最近、多数のIPアドレスからのX-Masスキャンが急増しているのを見ました。これは、おそらくクリスマスシーズンが近づいているためです。

最初に行うことは、攻撃者がこれらのスキャンから何を見つけることができるかを認識することです。 TCP/UDPスキャンの目的は、サーバーで開いているすべてのポートをマップし、サーバーが使用する可能性のあるOSの種類を判別することです。これらの開いているポートの背後で実行されているサービスを判別するために、さらに偵察が行われる場合があります。

通常、NmapまたはNessusなどのツールを使用して、サーバーで開いているポートをプローブします。これらのツールは、サーバーがそれらに応答して、ポートが次のいずれであるかを確認します。

• 開いた
• 閉まっている
• フィルタリング

サーバーがすぐに使用できるファイアウォール構成を使用している場合は、ほとんどの場合、 RFC 79 に準拠しています。スキャナーはファイアウォールに依存して、ポートが開いているか閉じているかを予測可能な方法で応答します。ファイアウォールが非準拠の場合、つまり、ネットワークパケットが拒否されるべきときにドロップされる場合、またはその逆の場合、スキャナーは混乱し、おそらく間違ったレポートを返します。

スキルのレベルに応じて、攻撃者はおとりを展開するか、ゾンビで間接的にスキャンすることにより、自分のIPアドレスをマスクする可能性があります。ドアがロックされているかどうかを確認するのを助けることを恐れることは本当にないので、勇敢にスキャンする臆病者が少なくなることを願っていますが、加害者を根絶することはまったく無駄な試みであり、ほとんどの人は気にしないでしょう。