¿Es posible (y cómo) saber desde un volcado de red si hay un ataque de desbordamiento de búfer, DoS o ataque de fuerza bruta? Sería más obvio identificar un DDoS, pero creo que los ataques mencionados anteriormente se parecerían un poco más a la actividad normal.
Lo siento por mi pregunta de novato, tu respuesta ayudaría mucho. Cualquier información sobre cómo identificar estos ataques desde volcados de red sería muy apreciada.
Dependería de varios factores, como el protocolo que se usó.
Supongamos, por el bien de la respuesta, que el protocolo en cuestión no es HTTP cifrado.
Este sería el más difícil de identificar de los 3, ya que podría parecer una gran solicitud. Es posible que pueda identificarlo a partir de algunos patrones comunes que las personas usan en Desbordamientos de búfer (por ejemplo, una serie de caracteres 'A'), pero eso no es un requisito del ataque, por lo que en muchos casos puede ser difícil de detectar, dependiendo de cuán similares Se ve a una solicitud estándar a la aplicación
Esto debería ser relativamente fácil de detectar desde un volcado de red. Es probable que vea una gran cantidad de solicitudes al servicio, ya sea paquetes SYN (para un ataque de inundación SYN estándar) o tal vez una solicitud de aplicación específica (como una búsqueda) para una aplicación DoS, probablemente sea visible como el volumen de tráfico para el servicio subiría rápidamente.
En la mayoría de los casos, esto sería bastante fácil de eliminar de un volcado de red, ya que vería un gran número de inicios de sesión fallidos en la aplicación provenientes de una dirección IP o un rango (dependiendo de si se distribuyó el ataque o no). Es probable que esto se destaque de los patrones de tráfico ordinarios, por lo que será relativamente fácil de detectar.
Lea otras preguntas en las etiquetas network denial-of-service ddos