Identificar ataques por actividad de la red

0

¿Es posible (y cómo) saber desde un volcado de red si hay un ataque de desbordamiento de búfer, DoS o ataque de fuerza bruta? Sería más obvio identificar un DDoS, pero creo que los ataques mencionados anteriormente se parecerían un poco más a la actividad normal.

Lo siento por mi pregunta de novato, tu respuesta ayudaría mucho. Cualquier información sobre cómo identificar estos ataques desde volcados de red sería muy apreciada.

    
pregunta Zack 11.08.2014 - 17:36
fuente

1 respuesta

1

Dependería de varios factores, como el protocolo que se usó.

Supongamos, por el bien de la respuesta, que el protocolo en cuestión no es HTTP cifrado.

Desbordamiento de búfer.

Este sería el más difícil de identificar de los 3, ya que podría parecer una gran solicitud. Es posible que pueda identificarlo a partir de algunos patrones comunes que las personas usan en Desbordamientos de búfer (por ejemplo, una serie de caracteres 'A'), pero eso no es un requisito del ataque, por lo que en muchos casos puede ser difícil de detectar, dependiendo de cuán similares Se ve a una solicitud estándar a la aplicación

DoS.

Esto debería ser relativamente fácil de detectar desde un volcado de red. Es probable que vea una gran cantidad de solicitudes al servicio, ya sea paquetes SYN (para un ataque de inundación SYN estándar) o tal vez una solicitud de aplicación específica (como una búsqueda) para una aplicación DoS, probablemente sea visible como el volumen de tráfico para el servicio subiría rápidamente.

Fuerza bruta.

En la mayoría de los casos, esto sería bastante fácil de eliminar de un volcado de red, ya que vería un gran número de inicios de sesión fallidos en la aplicación provenientes de una dirección IP o un rango (dependiendo de si se distribuyó el ataque o no). Es probable que esto se destaque de los patrones de tráfico ordinarios, por lo que será relativamente fácil de detectar.

    
respondido por el Rоry McCune 11.08.2014 - 17:46
fuente

Lea otras preguntas en las etiquetas