سلام دوستان. بحث من امنیتی هست اما موضوع سوال من در مورد کاربری خانگی بود و اصلا منظورم امنیت سازمانی و شرکتی نیست(چه بسا اینکه توی اون ابعاد خیلی بحرانی تر میشه).
ببینید دوستان من سرویس خانگیمو از یکی از ISP های ADSL گرفتم. سرویسمم Dynamic IP هست و کلا چیز خاصی نیست و مثل بقیه سرویس های عادی هست. موضوع از اونجایی شروع میشه که من وقتی اومدم لاگ Firewall رو خوندم، به چیز عجیبی برخوردم.
به طور خلاصه، متوجه شدم آی پی من(یا احتمالا کل رنج آی پی این ISP یا شایدم در ابعاد بزرگتر) داره اسکن میخوره. مثلا مدام از یک سری سورس های نامشخصی توی اقصی نقاط جهان(از چین و آلمان و روسیه بگیر تا ویتام و آمریکا و حتی شهر های خود ایران) منبع این اسکن ها هستن.
پورت مقصدشون هم شامل همه رنج ها میشه. اکثرا پورت های 22 و 23 که به ترتیب SSH و Telnet هست، پورت 80، 443، 445 و 8080 و خیلی پورت های مختلفی که تازه اینا شناخته شده هاشون بود که نام بردم. حتی بعضی پورت هارو که توی speedguide.net چک کردم، متوجه شدم این پورت مثلا واسه فلان تروجان شناخته شده هست، یا مثلا فلان سرویس با آسیب پذیری های شناخته شده ای روی اون پورت هست. البته چون حداقل توی روتینگ مودم/روتر های خونگی NAT داره، شاید زیاد آسیب پذیری بروز نده خودشو، ولی حتما برای جاهای دیگه مشکل ساز میشه، به خصوص اینکه نمیدونیم چه کسی یا کسانی دارن این اطلاعات رو جمع آوری میکنن.
اما جالب تر گستردگی و کمیت این حملات(یا بهتر بگیم اسکن ها) هستن. همینو بگم که تعدادشون واقعا بیشتر از حدیه که من انتظار داشتم! در طول مدت 10 دقیقه ممکنه حداقل 30 ورودی تا 50 ورودی(تازه اونایی که فایروال Reject کرده و برای من لاگ کرده) وجود داره!
میخوام ببینم نظر دوستان چیه؟ این گستردگی طبیعیه؟ مقابله باهاش به چه صورتیه؟
تشکر که وقت گذاشتید.
