det0817-detection-of-scanning-ip-blocks

# DET0817 — Detection of Scanning IP Blocks ## Descrição A varredura de blocos de endereços IP é uma técnica de reconhecimento ativo onde adversários escaneiam ranges completos de CIDR para identificar hosts ativos, serviços expostos e versões de software. Ferramentas como Nmap, Masscan e Zmap permitem varreduras de alta velocidade que cobrem milhões de IPs em minutos, sendo utilizadas tanto por atores de ameaça como por red teams para mapeamento de superfície de ataque. Grupos como [[g1017-volt-typhoon]], [[g0065-leviathan|apt40]] e operadores de ransomware como [[lockbit-operators]] realizam varreduras extensivas antes de selecionar alvos de oportunidade. O padrão de varredura de blocos de IP é detectável por suas características estatísticas: tentativas de conexão em portas comuns contra múltiplos IPs sequenciais, pacotes SYN sem completar o handshake TCP (SYN scan), e taxas de conexão que excedem em muito o comportamento legítimo. Sistemas de detecção modernos como Suricata, Zeek e soluções de NDR identificam esses padrões via análise de fluxo de rede e regras específicas para ferramentas de scan conhecidas. A correlação entre varreduras externas e tentativas de exploração subsequentes é fundamental para priorizar resposta. Um scan detectado de um IP específico seguido por uma tentativa de exploração de CVE nas horas seguintes confirma um ataque coordenado e progressivo. A implementação de honeypots de rede (portas falsas abertas que nunca deveriam ter tráfego legítimo) é uma estratégia eficaz para detectar varreduras automatizadas, mapeada em [[t1595-active-scanning|T1595-active-scanning]] e [[t1046-network-service-discovery]]. ## Indicadores de Detecção - Tentativas de SYN scan contra múltiplos IPs em sequência no mesmo intervalo de tempo - Conexões incompletas (SYN sem ACK de resposta) em volume elevado em múltiplas portas - Tráfego originado de ferramentas de scan reconhecidas via fingerprinting (timing patterns do Nmap) - Alertas de honeypot: conexões a IPs ou portas inexistentes/não utilizadas na rede - Requisições UDP em massa para portas de descoberta (DNS, NTP, SNMP) em padrão de enumeração - Bloqueios em massa no firewall perimetral de um único IP de origem em curto período - Correlação de IPs de scan com listas de IPs de scanners conhecidos (Shodan, Censys crawlers) ## Técnicas Relacionadas - [[t1595-active-scanning|T1595-active-scanning]] — varredura ativa de IPs e serviços - [[t1046-network-service-discovery]] — escaneamento de serviços de rede - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — coleta de informações de rede via scanning - [[t1018-remote-system-discovery|T1018-remote-system-discovery]] — descoberta de sistemas remotos ativos - [[t1133-external-remote-services|T1133-external-remote-services]] — identificação de serviços de acesso remoto expostos ## Analytics Relacionadas - [[an1949-analytic-1949|AN1949 — Analytic 1949]] --- *Fonte: [MITRE ATT&CK — DET0817](https://attack.mitre.org/detectionstrategies/DET0817)*