La pregunta a continuación se basa en una suposición errónea de que el atacante puede falsificar la IP al realizar la conexión HTTP. Pero el atacante es n ' no puede falsificar la IP si no tiene acceso directo a la conexión entre el servidor y este cliente
Muchos ingenieros de seguridad aconsejan configurar la capa de detección de ataques. Los principales componentes sugeridos son registrar todos los eventos de seguridad y configurar IDS y SIEM.
Estas son las principales actividades que se hacen posibles después de configurar la detección de ataques utilizando el registro, IDS y SIEM. Mis comentarios sobre por qué parecen no ser eficientes también están abajo.
-
Bloquear atacante
Podemos bloquear solicitudes que parezcan maliciosas. Pero la detección de solicitudes probablemente será propensa a errores y muchas solicitudes maliciosas seguirán pasando por la capa de detección.
Podemos bloquear la IP del atacante. Pero en mi opinión será perjudicial. El atacante puede falsificar la IP y enviar solicitudes de las IP de los usuarios legítimos. El bloqueo de esas direcciones IP hará IP DoS (como DoS de cuenta , pero IP). < br> Editar: @schroeder dijo que el bloqueo de la IP del atacante, incluso si es falso, es una acción necesaria. Sin embargo, el atacante puede inundar el servidor con varias solicitudes maliciosas. No puedo bloquearlos todos porque son muy diferentes y cualquier IDS tendrá falsos negativos. No puedo bloquear las direcciones IP de esas solicitudes, ya que después se bloquearán los usuarios legítimos. También el atacante puede bloquear a un determinado usuario si conoce su IP enviando solicitudes maliciosas desde una IP falsificada. Por eso creo que las direcciones IP no deberían bloquearse si las solicitudes parecen maliciosas. Creo que las direcciones IP deben bloquearse solo en caso de DDoS, ya que necesito bloquear a alguien para que tenga aplicaciones disponibles para usuarios legítimos. -
Emprender acciones legales después de un compromiso
En el caso de un hack, la reputación de la aplicación se verá socavada. La acción legal no recuperará la reputación y la pérdida de ingresos. Puede ser difícil ir a la corte si el atacante es de otro país. No dará ningún beneficio excepto que se muestre "No nos rompa más". -
Enviar informe al ISP del atacante
Tiene los mismos problemas que el elemento 1, ya que el atacante puede enviar solicitudes de toneladas de IP falsas. Enviar el informe es imposible, ya que no sabemos si esas solicitudes provinieron de IP real o falsa. Será imposible encontrar la IP real del atacante entre esas -
Revise los registros para averiguar los vectores de ataque y cerrar agujeros si existen
Pero dudo que revisar los registros pueda ayudar a descubrir los agujeros de seguridad. El parche virtual se implementa utilizando WAF, no IDS -
Generando muchas estadísticas y líneas de base. Pero IMO no ayudará a proteger la aplicación.
Por lo tanto, la detección de ataques de la OMI no parece ser efectiva. ¿Qué me perdí?