¿Cómo puedo rastrear el intento de pirateo?

2

En primer lugar, no quiero rastrear al hacker. Quiero rastrear si el sistema está siendo comprometido de alguna manera. Por ejemplo, cuando un sitio web está bajo ataque, recibirá datos maliciosos. Quiero verificar esos datos y si son maliciosos quiero llamar al asistente por correo o SMS o llamada telefónica.

La frase en negrita de arriba es la parte difícil. ¿Cómo definir si algo es malicioso? Hacker envía datos válidos desde el punto de vista de las aplicaciones. Pero fuera de ese dominio de aplicación, otra herramienta puede examinarlo.

¿Hay alguna herramienta como esa? Si no, ¿cuál es la lógica común para rastrear la intrusión? Entonces puedo escribir una herramienta.

    
pregunta Shiplu Mokaddim 06.01.2013 - 06:02
fuente

2 respuestas

3

Como se menciona en los comentarios, intente con IDS o IPS. Mi favorito y gratuito está basado en host y se llama OSSEC .

Le alertará sobre intentos de robo y otras irregularidades en su máquina.

    
respondido por el Lucas Kauffman 06.01.2013 - 11:09
fuente
3

Un IDS (sistema de detección de intrusos) o IPS (sistema de prevención de intrusos) es la solución estándar. Por lo general, funciona observando el tráfico hacia sus recursos protegidos (como un servidor web) y buscando características asociadas con los ataques. La gran ventaja es que ahorra una gran cantidad de tiempo y proporciona muchas más formas de escanear en busca de vectores de ataque que usted mismo. Con la mayoría de los sistemas de este tipo, planifica una forma de obtener actualizaciones, de modo que los atacantes evolucionen, su sistema lo siga poco después.

Para cualquier tipo de recurso dado, los vectores de ataque variarán y siempre están evolucionando. Como mencionó, para los servidores web, un vector bastante común son las entradas defectuosas: la inyección de código y el desbordamiento de búfer son los dos que vienen a la mente con mayor facilidad. Pero esto variará para cualquier tipo de recurso que quieras proteger y cualquier protocolo que un atacante pueda usar para acceder a él.

Un sistema sofisticado puede combinar:

  • puntos de referencia para el comportamiento actual del sistema y observación de los cambios en esos puntos de referencia
  • análisis de protocolos y uso indebido de aspectos de esos protocolos
  • intentos repetidos de proporcionar una entrada incorrecta o no válida
  • cualquier patrón de comportamiento que muestre un tipo de escaneo
  • detección de comportamiento significativamente inusual

y más ...

Realmente no hay una respuesta perfecta para lo eterno: "¿hemos sido atacados con éxito?" pregunta, la clave real es conocer un sistema determinado, qué es "normal" y, por lo tanto, qué es "anormal", y conocer un diseño o patrón de comunicación dado lo suficientemente bien como para saber cómo y cuándo se puede utilizar mal

    
respondido por el bethlakshmi 07.01.2013 - 22:30
fuente

Lea otras preguntas en las etiquetas