<div> </div><div> </div><div>28.06.2021, 18:25, "Jim" <mysidia@gmail.com>:</div><blockquote><p>They conduct probes and queries that are basically routine<br />communications against IP Address Port pairs that have been routed on<br />the public internet. There is nothing I have seen / No evidence of<br />shadowserver specifcally ever conducting a penetration attempt or<br />other actual abuse, [...]<br /><br />There are many parties who do scans and send basic queries for reasons<br />that have nothing to do with penetrating or attempting to penetrate<br />anything [...]</p></blockquote><div> </div><div>I thought I'd add because it seems relevant and this is a pet peeve of my own, but with some notable exceptions-- anymore you can more or less think of a port scan as generally being a network diagnostic of some sort. Most of the stuff that says its a precursor to an attack is outdated and stems from a time period when compromises were a mostly server side affair. Anymore, particularly in the majority of major unix services, the code bases have long been settled and the more serious vulnerabilities have largely worked themselves out. Most attacks anymore take one of two forms, one being client-side attacks (e.g. Office or a browser or similar) and the other being web application vulnerabilities-- neither of which fit the traditional model of port scan followed by an attack.</div><div> </div><div>There are notable exceptions, people still widely try to brute force SSH and scan for it, there will likely always be spammers seeking out open relays and people widely scan HTTP related ports looking for known vulnerable applications, but those don't really fit the same model. Thus, for the most part, with some notable exceptions, when you see a port scan unless there is something specific that screams attack you should think of it as someone doing some form of diagnostic.</div><div> </div><div>If you're seeing someone probing DNS, its probably in the single digit percentages that its anything but a diagnostic.</div><div> </div><div>YMMV of course, but it's a pet peeve because a lot of the trainings and such still retain the notion that this is frequently a precursor.</div>