Tomando acción para intentos de explotación

4

Recientemente, he visto que he recibido aproximadamente 40 aciertos en un segundo para la siguiente identificación de la regla de Snort 1: 16008 , que corresponde al CVE-2007- 6239 : "... permite a los atacantes remotos causar una denegación de servicio (bloqueo) a través de vectores desconocidos relacionados con los encabezados HTTP ...". Tanto las IP de origen como las de destino son IP internas (privadas).

¿Qué dice la sabiduría general a este respecto? - ¿Deberían tomarse en serio esos golpes puntuales y tomarse alguna acción, como bloquear la IP de origen? (bueno, simplemente ejecuto Snort en modo IDS, así que no puedo tomar ninguna acción, pero quería saber esto para comprenderlo mejor) O los administradores generalmente esperan para ver los golpes repetidos antes de decidir que esto no es un disparador falso sino un alerta real?

A continuación, poniéndome en la piel del administrador de la red, ¿tengo que hacer algo? Entiendo que este podría ser un poco difícil de responder con la información limitada que tengo, pero espero tener una idea: compruebe las máquinas para ver si hay alguna posibilidad de que se vea comprometido, bloquee temporalmente el tráfico a las direcciones IP, etc. ...

    
pregunta pnp 25.09.2012 - 14:01
fuente

2 respuestas

2

Tiene un 'evento' pero necesita calificarlo como 'incidente' o no. Realice una investigación para descubrir la causa raíz y, si no hay datos suficientes para tomar una decisión, configure un monitoreo adicional en el host sospechado y el objetivo.

No todos los eventos son incidentes, pero cada evento debe estar debidamente calificado.

Para ver la 'sabiduría general', vea ' Incidente Respuesta ' políticas y .

Para pasos prácticos e inmediatos, monitorearía el host, buscaría otros eventos de red que pudieran estar relacionados y revisaría mis reglas de Snort para asegurarme de que estoy actualizado y si hay ajustes en el CVE. 2007-6239 reglas que podría hacer.

    
respondido por el schroeder 11.10.2012 - 01:41
fuente
2

Si está viendo repetidos intentos de explotación desde una dirección IP particular, tiene sentido bloquearla, o mejor aún, NAT a honeypot . Claro, muchos atacantes tendrán un conjunto completo de servidores comprometidos con los que pueden probar, por lo que el bloqueo de uno de ellos no los detendrá, sin embargo, los obligará a responderle y puede convencerlos de que otros objetivos valen la pena.

Sin embargo, no te obsesiones con él, podrías pasar todo el día bloqueando las direcciones IP y aún habrá un millón más.

    
respondido por el GdD 25.09.2012 - 15:00
fuente

Lea otras preguntas en las etiquetas