¿Cómo detectan Malware Analysts información falsificada?

Navega tus respuestas
0

Aunque soy bastante nuevo en la industria (tercera pasantía en una institución financiera), estoy seguro de que la mayoría de las personas han escuchado y entendido el concepto de falsificación de información, como una dirección IP del remitente o una dirección MAC.

Mi pregunta es, ¿cómo podría un analista detectar si cierta información está falsificada? ¿Cómo podrían detectar que una IP no es realmente la IP del remitente?

Mi mejor estimación de lo que he aprendido hasta ahora sería mirar los registros y comparar la información potencialmente falsificada con la ruta real que tomaron los paquetes en la red.

    
pregunta PositriesElectron 12.07.2016 - 21:38
fuente

2 respuestas

1

Bueno, sabemos que falsificar una dirección IP (a través de TCP) es altamente improbable debido al apretón de manos de tres vías que tiene lugar.

Por otro lado, falsificar una dirección MAC es una tarea bastante trivial. Su única detección para MAC falsificados es mirar el MAC e intentar determinar el fabricante (los tres primeros valores (es decir, los tres "XX" s) indican al fabricante en una dirección como XX: XX: XX: 12: 34: 56 ). Tenga en cuenta que solo las direcciones MAC incorrectas, es decir, las MAC que no se resuelven para un fabricante, serían indicaciones claras de falsificación. Si el actor falsifica un MAC válido , será más difícil de detectar.

Los controles típicos para mitigar la suplantación de identidad incluyen el uso de SSL (sobre TLS) con un certificado firmado por una autoridad de certificación (CA).

    
respondido por el HashHazard 12.07.2016 - 21:52
fuente
1

@Hollowproc es correcto. Los MAC suelen ser el sorteo muerto, y si se falsifica el MAC, es muy probable que la IP también sea falsificada debido a la ARP. Aquí hay un artículo de Cisco que realmente lo explica bien y cubre áreas como Detección de paquetes falsificados, Rastreo de paquetes IP falsificados y Contramedidas para la falsificación de IP. IP Spoofing

    
respondido por el Tyler Gallenbeck 13.07.2016 - 01:25
fuente

Lea otras preguntas en las etiquetas

¿Incrementar un hash aumenta el riesgo de denegación de servicio (DoS) y la protección de fuerza bruta lo mitiga? ¿Por qué mi cambio de IP en el enrutador manual se apaga / enciende? [cerrado]