这些是防火墙日志中获取的外部针对1433数据库端口爆破扫描的情景。
43.248.108.94
65.49.1.56
104.167.223.138
106.75.167.80
107.149.239.108
123.160.221.138
147.185.132.109
205.210.31.46
发现对服务器发起攻击的IP,在长亭的威胁情报中心上也都被标记了,而且是长期都对外发起攻击,在过去一个月就发起了攻击,长亭标记的逻辑应该就是过去1个月有过攻击行为的IP。
目前长亭的威胁情报IP主要来自他们的免费WAF的情报共享渠道,可以探测web攻击,恶意入侵,端口探测等行为。
长亭雷池免费waf的安装量已经有26.万次,这个数字无疑是非常庞大的,在github上的star是1.32万,算是github历史上免费或开源WAF中的最高star。
有这么多的客户端帮助收集来自全世界的攻击情报,说实话,基本可以监测相当大部分的威胁IP,尤其是那种攻击范围和强度比较高的恶意IP,而这些IP都可以直接封禁掉。
有关邮件情报,现在各个邮件厂商都有自己的邮件蜜罐,理论来说客户越多,收集到的邮件情报也就会越多。
如果公司没有海外的业务,完全可以在自己的邮件服务器或者邮件安全网关上屏蔽掉如下的海外邮件:
hotmail.com
outlook.com
gmail.com
mail.ru
这些海外的邮箱发过来的邮件基本都是垃圾邮件,gmail发过来的甚至更雷人。
