¿Cuáles son los enfoques para detectar el ataque DoS en IDS / Firewall?

Navega tus respuestas
2

Primer acercamiento a la detección de ataques DoS : existen técnicas para la detección de intrusos y, por supuesto, ataques DoS, en las que para cada paquete (o flujo) se calculan algunas características, luego se basan en algún algoritmo de clasificación. , se determina si este flujo es anómalo o no. De esta manera, el flujo específico se marca como anómalo.

Segundo enfoque : para el ataque DoS, existe esta técnica en la que el tráfico de red se agrega de acuerdo con algunas características (por ejemplo, el conjunto de indicadores SYN) y luego utiliza el procesamiento de señales u otras técnicas como el umbral simple. averigüe si hay alguna anomalía en este intervalo de tiempo o no. Sin embargo, de esta manera no podemos determinar qué flujo es anómalo. Existen técnicas que procesan aún más ese intervalo de tiempo, para encontrar un flujo anómalo o si la anomalía es DoS (quizás implementando el primer enfoque para este intervalo de tiempo específico).

El primer enfoque no se implementa en Snort, como pregunté anteriormente aquí . No sé si los productos comerciales utilizan este enfoque o no.

¿Entendí las tendencias verdad? ¿Por qué es interesante el segundo enfoque si el primer enfoque funciona (o es simplemente porque el primer enfoque no funciona?). ¿Para limitar el espacio de búsqueda a un espacio de tiempo específico? ¿Hay alguna deferencia aquí entre IDS / Firewall? ¿Hay otros enfoques?

    
pregunta Yasser 29.11.2012 - 10:03
fuente

2 respuestas

7

Los ataques DoS son simplemente una gran cantidad de datos que se envían a su servidor. Se puede configurar algo tan simple como una regla de Nagios para detectar una carga de tráfico anormal.

Aquí hay algunas reglas de ejemplo para el monitoreo de estadísticas de tráfico básicas:

  • "Si recibo más de 80 Mbps de tráfico entrante, envíe una alerta". : útil para las tasas de tráfico promedio conocidas que no varían mucho.
  • "Si mi tasa de tráfico entrante supera los 60Mbps y la tasa de tráfico entrante promedio en los últimos 10 minutos excede la tasa de tráfico entrante promedio en las últimas 4 horas en más del 70%, envíe una alerta." - Útil para situaciones en las que el tráfico varía, pero hay un umbral de referencia razonable disponible.
  • "Si el número de paquetes SYN recibidos en los últimos 5 minutos excede el número de paquetes ACK recibidos por un factor de 10 o más, envía una alerta". - Útil para detectar inundaciones SYN.

Si consideramos las reglas de IDS en su lugar, podemos buscar reglas más específicas sobre clientes individuales:

  • "Si alguna IP ha contribuido a 100MB o más de tráfico en los últimos 20 minutos, envíe una alerta". : útil para detectar intentos individuales de DoS o posibles exfiltraciones de datos. Obviamente, esto no funcionará demasiado bien si está ofreciendo archivos grandes a los usuarios.
  • "Si alguna IP ha enviado más de 40 MB de tráfico UDP en los últimos 10 minutos, envíe una alerta". : útil para detectar inundaciones de UDP, ya que en la mayoría de los servidores web no se espera tráfico UDP. .

Obviamente, estos son solo ejemplos.

La diferencia entre un IDS y un firewall es principalmente que un IDS es pasivo (es decir, examina el tráfico y produce alertas cuando ocurren cosas malas) y un firewall está activo (es decir, elimina paquetes que coinciden con una regla). Sin embargo, un firewall generalmente tiene reglas mucho más simples, a menudo basadas en metadatos como la IP de origen, el tipo de protocolo, el número de puerto, el número de secuencia de TCP, etc. Un IDS generalmente se enfoca en la carga útil, en lugar del paquete. Algunos firewalls incluyen características de IDS, y un IPS es esencialmente una combinación de los dos que pueden manipular el tráfico según reglas más complejas.

En términos de análisis de flujo vs. análisis de paquetes, ambos estilos de mitigación funcionan, pero funcionan incluso mejor cuando se combinan. Es probable que sus reglas de flujo atrapen los ataques DDoS una vez que hayan comenzado a afectar su sistema, mientras que las reglas de análisis de paquetes probablemente detecten los ataques DDoS en su infancia. La tasa de falsos positivos en el análisis de paquetes es bastante alta, por lo que usar ambos como un indicador tiene más sentido.

    
respondido por el Polynomial 29.11.2012 - 10:57
fuente
4

Snort no es muy bueno para mantener el estado durante un período de tiempo más largo que una sesión de TCP. Snort está muy basado en la firma. Lo que quiere es más una IDS basada en flujo / heurística. Ejecuto Snort Y el ID de Bro algo desconocido y muy subestimado:

enlace

Esto proporciona MUCHA mejor cobertura y visibilidad en su red que Snort solo.

enlace

enlace

Actualmente los ejecuto en Security Onion, pero algún día podré implementar mis propios hosts dedicados de bro / snort una vez que me familiarice un poco más con ambos. Acabo de comenzar con BNPL, pero tengo altas expectativas para el tipo de cosas que podré detectar con él.

    
respondido por el Tracy Reed 06.05.2013 - 03:16
fuente

Lea otras preguntas en las etiquetas

Cómo bloquear los sitios web en las máquinas cliente Asegurando espacio de IP privado