답변:
답변은 귀하가 정보를 제공하려는 기관에 따라 크게 달라질 수 있지만, 일반적으로 귀하가해야한다고 생각합니다. 사실, 우리 조직의 남용 사서함을 모니터링하고 응답하는 것이 나의 주요 업무 중 하나이므로 긍정적으로 말할 수 있습니다. 다른 보안 조직의 구성원들과 동일한 대화를 나누었으며 그 대답은 크게 다음과 같이 구성되었습니다.
물론 그러한 규칙 을 따르 라고 말하지는 않지만 보고 측면에서 잘못을 권장합니다. 일반적으로 많은 노력이 들지 않으며 상대방을 실제로 도울 수 있습니다 . 그들의 추론은 ISP가 종종 의미있는 행동을 취할 수있는 위치에 있지 않기 때문에 정보를 멀리 떨어 뜨릴 것이라는 것이 었습니다. 우리는이 문제를 적극적으로 추구 할 것이라고 말할 수 있습니다. 우리는 네트워크에서 해킹 된 머신이 확산되는 경향이 있기 때문에 감사하지 않습니다.
실제 요령은 보고서와 직원간에 일관성을 유지할 수 있도록 응답 및보고 절차를 공식화하는 것입니다. 최소한 다음을 원합니다.
당신이 팁 로그 샘플의 샘플을 포함시킬 수 있다면, 그것은 또한 유용 할 수 있습니다.
일반적으로 이러한 종류의 동작을 볼 때 가장 적합한 위치에 가장 적합한 범위의 방화벽 블록을 설치합니다. 적절한 정의는 어떤 일이 일어나고 있는지, 어떤 종류의 비즈니스에 있는지, 인프라가 어떻게 보이는지에 따라 크게 달라집니다. 호스트에서 단일 공격 IP를 차단하는 것에서부터 경계에있는 ASN을 라우팅하지 않는 것까지 다양합니다.
lynxman이 말한대로 ISP의 학대 부서에 연락하여 알려주십시오. 방화벽과 서버 모두에서 해당 IP를 차단합니다. 두 번째로 그룹 정책 (AD가있는 경우)에서 시도 기반 잠금을 설정합니다. 귀하의 비밀번호가 강력하다면 걱정하지 않아도됩니다. 서버는 내가 배우기 위해 하루 종일 로그인을 시도합니다.
여기서 문제는 다양한 국가에서 가정 사용자의 PC이거나 동적 주소 지정 체계에있는 손상된 시스템에서 발생하는 것입니다.
즉, 기계의 소유자는 자신이 공격을 전달하고 있다는 사실을 알지 못하고 신경 쓰지 않습니다. 법이 실제로 신경 쓰지 않는 국가에있을 수 있으며 ISP는 신경 쓰지 않고 어떤 경우에도 원합니다 누가 해당 IP 주소를 사용하고 있는지 확인하기 위해 로그를 탐색하고 싶지 않습니다.
가장 좋은 계획은 Lynxman, Jacob 's 및 pack '의 조합입니다. 일반적으로이를 차단하지만 일반적인 범인이 있는지 확인하고 해당 ISP의 학대 부서에 통신문을 보내도록 스크립트를 설정하십시오.
그런 식으로 시간을 더 잘 사용하십시오.