Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 925 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Persistent Scans

skydiver
So I have been getting port scanned now for over a week from the same IP address somewhere in China
Source IP address: 125.45.109.166 (hn.kd.ny.adsl)

I called our ISP (Timewarner) to see if they can block it higher up in the food chain but they won't.

Any suggestions other than ignore these alerts?  I setup a specific drop rule for this IP address in the packet filter but since we are an American Asian Cuisine Restaurant Chain I worry that this could be a targeted probe.


This thread was automatically locked due to age.
Parents
  • 0
    It's likely not a targeted probe; I've seen hits from that IP, on and off, for years at my various customer sites.  What is annoying is that there is currently no way to prevent the alerts, creating packet filter blocks, even blackhole NATs, for these sorts of scanners has not effect, still get tons of notifications.  Just add a block rule for it and worry about it no-more.  The portscan detection, unfortunately (or fortunately, depending on your point of view) gets first dibs at looking at traffic, so even though you can define a packet filter rule that specifically blocks all traffic from one of these hosts, the portscan detection still "trips."
Reply
  • 0
    It's likely not a targeted probe; I've seen hits from that IP, on and off, for years at my various customer sites.  What is annoying is that there is currently no way to prevent the alerts, creating packet filter blocks, even blackhole NATs, for these sorts of scanners has not effect, still get tons of notifications.  Just add a block rule for it and worry about it no-more.  The portscan detection, unfortunately (or fortunately, depending on your point of view) gets first dibs at looking at traffic, so even though you can define a packet filter rule that specifically blocks all traffic from one of these hosts, the portscan detection still "trips."
Children
No Data