端口扫描攻击 10

13750686983 5219

{{ttag.title}}
态势感知平台探测到有些终端一直时常发起对特定的IP进行端口扫描。事件描述是 TCP同一主机多端口扫描。请问应该怎么处理这些发起扫描的终端,如何获知发起端口扫描的程序是什么?

解决该疑问,预计可以帮助到 2831 人!

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+悬赏奖励10S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

汤汤啊 发表于 2023-2-2 17:14
  
有EDR吗  可以用EDR进行探测下 或者手动去用TCPView去查  稍微有点麻烦了就是
小鱼儿 发表于 2023-2-2 17:18
  
看详细的扫描日志吧  从里面分析一下
Hill_李胜阳 发表于 2023-2-2 17:58
  
一般是服务器对终端发起扫描,为了传递数据啥的。在SIP设备看来就是在对端口扫描,实际上是业务需要批量连接同一个端口 进行业务传递。常见的还有像打印机通过域控服务器对下面终端进行驱动识别安装的时候较为明显,统称为较普遍的扫描行为。
一般来说对内网其它服务器,终端啥的进行批量IP的和高危端口探测扫描就要注意了。极有可能是真实扫描攻击。这时候内网终端极有可能成为肉鸡跳板等工具被利用了。
简单的处置措施就是直接先确认受害者终端运维有无做异常使用的操作,如果没有可对终端进行查杀动作,或通过便于识别具体相关进程。工具名称如下(lastactivityview查看主机使用记录
livetcpudpwatch网络连接统计情况,antibot查看历史相关进程+僵尸网络查杀)。
如果是外对内的扫描行为,索性直接封禁恶意相关IP即可。希望能够帮助到你!
tianjt 发表于 2023-2-2 18:57
  
看看安全日志,同时抓抓包
徐英俊ya 发表于 2023-2-3 16:22
  
先看看是哪个主机进行扫描的,确认是不是正常的行为,从这台主机上去查看使用了什么程序,如果说确认有异常,建议可以采用杀毒软件扫描下
头像被屏蔽
新手078326 发表于 2023-11-22 14:30
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2023-11-23 21:22
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2023-11-24 16:48
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手612152 发表于 2023-11-24 18:12
  
提示: 作者被禁止或删除 内容自动屏蔽

等我来答:

换一批

发表新帖
热门标签
全部标签>
【 社区to talk】
每日一问
新版本体验
高手请过招
标准化排查
产品连连看
功能体验
社区新周刊
GIF动图学习
安装部署配置
平台使用
技术笔记
网络基础知识
纪元平台
信服课堂视频
2023技术争霸赛专题
运维工具
解决方案
排障笔记本
安全效果
答题自测
VPN 对接
云化安全能力
关键解决方案
技术圆桌
设备维护
存储
迁移
秒懂零信任
文档捉虫
每周精选
西北区每日一问
产品解析
畅聊IT
专家问答
在线直播
MVP
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
用户认证
原创分享
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
技术盲盒
山东区技术晨报
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
专家说
热门活动
产品动态
行业实践

本版版主

8
24
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人