Libros de firmas de ataque [cerrado]

0

Tengo una tarea que realizar para la escuela que involucra firmas de ataque (tengo que hacer un IDS específico del servicio). Básicamente, lo que tengo que hacer es generar firmas para algunos ataques con Metasploit en algunos programas, y luego debo poder reconocer estos mismos ataques.       Actualmente estoy en la fase de investigación, más específicamente en cómo generar firmas de los ataques. ¿Alguien tiene alguna idea de dónde puedo encontrar algunos buenos libros / documentos / artículos para la generación de firmas (métodos, enfoques ...)?       Ya he buscado en Google y he buscado en las primeras 40-50 páginas de resultados y no he encontrado muchos recursos excelentes. ¿Hay libros dedicados a firmas de ataque?       Cualquier ayuda sería muy apreciada! Gracias!

Editar: Te daré un ejemplo de pasos. Digamos que mi IDS mira el archivo de registro generado por una aplicación (solo como ejemplo). 1) En la fase de capacitación (aprendizaje), My IDS busca en el archivo de registro para generar firmas de los ataques 2) En la fase de detección, mi IDS examinará los archivos de registro cuando la aplicación sea atacada e intentará hacer coincidir el contenido del archivo de registro con la base de datos que contiene las firmas generadas en el paso anterior.       Mi pregunta es: cómo generar las firmas ¿Qué debo ver? Por ejemplo, para la detección, uso FSA (Finite State Automaton) para expresar los pasos de un ataque (por ejemplo, ssh- > open a file- > read the file- > upload el contenido del archivo en el caso de un hacker que realiza una conexión remota que lee un archivo secreto y luego carga su contenido)

    
pregunta user2435860 03.04.2014 - 11:12
fuente

2 respuestas

1

Miraría las firmas de Snort, aprendería cómo se escriben y las utilizaré como una plantilla si necesita crear la suya propia. Para algunos ejemplos, esta página ha recopilado varias firmas que ha encontrado más efectivas contra el malware encontrado por su Honeypot.

Este es un buen artículo sobre las pruebas de Snort con Metasploit.

Desde que preguntaste por un libro, han pasado casi 10 años desde este libro salió pero esa página tiene todos los problemas y respuestas de la sección de firmas del libro.

Finalmente, la lista de correo de snort-sigs tiene una profunda discusión sobre lo que está buscando exactamente. Elaboraría una pregunta mucho más específica que "dónde miro" si te acercas a esa lista de correo.

Es común alimentar las capturas de Wireshark a Snort manualmente y creo que esto es lo que harías para este ejercicio

    
respondido por el mcgyver5 03.04.2014 - 12:39
fuente
0

Por lo tanto, deberías poder reconocer diferentes ataques o ataques diferentes porque no son lo mismo. Puedes usar wireshark para capturar paquetes y analizarlos. Para ataques debes buscar contramedidas. Pero para ataque me refiero a D / DoS, ejecución de código arbitrario, etc. y para ataques me refiero a MS08-067, por ejemplo. Si necesitas algo más pregunta aquí.

    
respondido por el user3395407 03.04.2014 - 11:22
fuente

Lea otras preguntas en las etiquetas