Najprostsze wyjaśnienia są zwykle trafne

Mogło się zdarzyć, że ktoś włamał się do twojej sieci, gdy miałeś inny znany problem, ale jest to mało prawdopodobne. Jeśli wiesz, że masz do czynienia albo z awarią sprzętu, albo z osobą kręcącą się po twojej sieci, powinieneś najpierw wykluczyć skutki uboczne znanego problemu, zanim zdecydujesz, że masz do

czynienia z napastnikiem. Z drugiej strony, jeśli twoje pliki znikają tajemniczo, a dysk najwyraźniej działa poprawnie, koniecznie się upewnij, że nie są to wrogie działania, zanim zdecydujesz, że kod systemu plików ma usterki.

Możesz sklasyfikować podejrzane zdarzenia w kilku kategoriach: Wiesz, co spowodowało zdarzenie, i nie jest to problem bezpieczeństwa Nie wiesz, co spowodowało zdarzenie, i prawdopodobnie nigdy się nie dowiesz, ale cokolwiek to było, już się nie zdarza.

Ktoś próbował się włamać, ale niezbyt usilnie masz do czynienia z sondą. Ktoś podjął poważną próbę włamania masz do czynienia z atakiem. Ktoś rzeczywiście się włamał.

Granice między tymi kategoriami są niewyraźne. Pomijając zdarzenia z pierwszej kategorii (to znaczy znane „nieproblemy”), zwykle będziesz musiał zdać się na głos rozsądku. Nie da się utworzyć wyczerpującej listy symptomów takich zdarzeń, ale poniżej przedstawiamy kilka pomocnych uogólnień.

Możesz podejrzewać, że ktoś próbował sondować twoją sieć, jeśli zauważysz: kilka prób dostępu do usług działających w niezabezpieczonych portach (na przykład próby połączenia się z portmapperem albo serwerem X)