Cómo detectar / mitigar el escaneo del puerto UDP usando OpenBSD y pf

Question

Cómo detectar / mitigar el escaneo del puerto UDP usando OpenBSD y pf

#1 de John Deters (1 votos)

1

Uno de nuestros cortafuegos OpenBSD experimentó una inundación de tráfico UDP desde un host comprometido dentro de nuestra red interna. El tráfico se intercambió entre el host interno comprometido y un único host externo, pero a través de una gran cantidad de puertos UDP.

(ejemplo de tráfico, los nombres se han cambiado para proteger a los inocentes)

all udp 1.2.3.4:7613 <- 10.0.0.10:49520       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:49520 -> 1.2.3.4:7613       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:4097 <- 10.0.0.10:60908       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:60908 -> 1.2.3.4:4097       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:32541 <- 10.0.0.10:37535       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:37535 -> 1.2.3.4:32541       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:33677 <- 10.0.0.10:59357       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:59357 -> 1.2.3.4:33677       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:37129 <- 10.0.0.10:51998       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:51998 -> 1.2.3.4:37129       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:22155 <- 10.0.0.10:57033       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:57033 -> 1.2.3.4:22155       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:43867 <- 10.0.0.10:60893       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:60893 -> 1.2.3.4:43867       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:52591 <- 10.0.0.10:53902       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:53902 -> 1.2.3.4:52591       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:32984 <- 10.0.0.10:56988       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:56988 -> 1.2.3.4:32984       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:38585 <- 10.0.0.10:56435       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:56435 -> 1.2.3.4:38585       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:8121 <- 10.0.0.10:41506       NO_TRAFFIC:SINGLE

¿Cómo podríamos detectar automáticamente este tipo de tráfico abusivo (dadas las capacidades de OpenBSD / pf) y luego reaccionar adecuadamente al prohibir la IP ofensiva?

Ya tenemos una tabla de reglas y pf que contiene direcciones IP prohibidas. Sería ideal si una solución pudiera aprovechar esta construcción existente.

(Me parece que esta pregunta puede ser más adecuada para unix.SE; la publiqué aquí debido a la naturaleza específica de la seguridad y su relación con los firewalls / IDS. Si pertenece allí, ¡que sea así!)

firewalls ids openbsd

pregunta Jeff Stice-Hall 23.10.2014 - 22:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls ids openbsd

PHP sería arriesgado (usando datos hackeables para los incluidos) ¿Qué tan segura es la banca en línea con tarjeta inteligente? ¿Cómo podría ser hackeado?

score 1 · Answer 1

Consulte la regla sfPortscan para Snort . Está diseñado para detectar tráfico a muchos puertos diferentes. Esto normalmente indicaría que una herramienta de exploración de puertos como nmap está en uso, pero debería desencadenarse en la situación que describe.

Por otra parte, dado que ya detectó el ataque, asumo que ya eliminó la amenaza (borró el disco duro de la PC infectada o lo que sea). ¿Cuáles son las probabilidades de que esta misma vulnerabilidad sea explotada? ¿De la misma manera por el mismo malware de nuevo? La buena noticia es que si instala una IDS como Snort y se suscribe a sus reglas, lo protegerá continuamente contra nuevas amenazas.