Saludos Comunidad
Les planteo la siguiente duda para determinar que herramientas se pueden usar para comprobar que una determinada ip que genera un evento de seguridad puede o no ser maliciosa
Datos de ejemplo suministrados para el análisis
IP origen: 196.180.20.56 – Zona - [Ubicada en EEUU]
Puertos origen: 23159
IP destino: 90.15.20.15 – Zona - [Ubicada en argentina]
Puertos destino: 61896
Con esos datos se busca determinar si la IP origen es maliciosa, debido a que fue reporta por el sistema de seguridad aunque puede tratarse de un falso positivo, se debe primero verificar si efectivamente la IP origen es maliciosa
Que técnicas o mecanismos usarían ustedes para concluir que la ip origen no es maliciosa
:O
¿Qué sería exactamente una "IP maliciosa"? :O
IP Maliciosa? Lo correcto seria IP con contenido malicioso.
Regards,
Snifer
Virustotal, o escanear mano el contenido de la misma
por ip maliciosa se entiende una ip no reconocida que genera un evento y lo que se debe analizar es si esa ip representa algun peligro por la ip destino, consultando por ejemplo la reputación de la ip
estoy deacuerdo con sanko escanea la ip por tu cuenta y mira si no es algun software que tengas instalado el que inicia esa comunicacion igual es para realizar alguna actualizacion etc te puedes dar cuenta si es una ip de alguna web o algun sitio buscando la en internet por lo general creo que si no me equivoco demaciado las ip de los ruters que usamos indican el proveedor de internet con esto sabras si es una cumputadora x o si es una web,sino pues configura tu firewall, ponle atencion a cuando y por que protocolo realiza la conexion,realiza un analisis de cuando y a que hora o que es lo que haces o podrias hacer que inicie una conexion puede ser el reproductor de windows el adobe reader etc saludos n,n
Puedes realizar dicho analisis con el scanner de Sucuri el cual te hace un barrido en blacklist y como dijo sanko, a mano tambien te puede servir