Problema de segurança e catálogo de classes
A tabela abaixo lista algumas das abreviações importantes com suas respectivas palavras/frases completas que foram usadas neste documento
| Abreviação | Descrição |
|---|---|
| IP | Endereço de protocolo da Internet |
| Src | Fonte |
| Dst | Destino |
| P2P | Posto a posto |
| ToS | Tipo de serviço |
| DoS | Negação de serviço |
| TCP: U-A-P-R-S-F | TCP: Urg — Ack — Psh — Rst — Syn — Fin |
A tabela abaixo lista o conjunto de classes utilizadas para classificação de problemas com uma breve descrição
| Nome da classe | Descrição |
|---|---|
| Bad Src — Dst | O IP Src ou o IP Dst do fluxo são suspeitos |
| Suspect Flows | Alguns atributos além do IP Src e IP Dst do fluxo são suspeitos |
| DoS | Ataque de negação de serviço |
A tabela abaixo lista o conjunto de problemas detectados e sua classificação seguida de uma breve descrição
Nome do problema | Descrição |
|---|---|
Fluxos Src-Dst inválidos | IP Src ou Dst inválido, independentemente do perímetro da empresa, por exemplo, IPs de Loopback ou IPs locais da IANA em IP Src ou Dst |
Fluxos de origem não unicast | IP Src é IP Multicast ou Broadcast ou Network, ou seja, não Unicast |
Excesso de fluxos multicast | O tráfego multicast excede o limite para qualquer IP Src |
Excesso de fluxos de broadcast | O tráfego de broadcast excede o limite para qualquer IP Src |
Excesso de fluxos de Networkcast | O tráfego destinado ao IP da rede excede o limite para qualquer IP Src fornecido |
Pacotes IP malformados | Fluxos com BytePerPacket (byte por pacote) menor ou igual ao mínimo de 20 octetos (bytes) |
Fluxos ToS inválidos | Fluxos com valores ToS inválidos |
Pacotes TCP malformados | Fluxos TCP com BytePerPacket (byte por pacote) menor que o mínimo de 40 octetos (bytes) |
Excesso de pacotes TCP vazios | Fluxos TCP sem qualquer carga útil, ou seja, BytePerPacket (byte por pacote) de exatamente 40 octetos (bytes) com valor de sinalizador TCP IN (25—27, 29—31). Todos os outros valores dos sinalizadores TCP estão incluídos em outros eventos baseados em TCP fornecidos abaixo |
Excesso de pacotes de conexão TCP curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e valor de sinalizadores TCP IN (19/ASF, 22/ARS, 23/ARSF), denotando sessões TCP abertas e fechadas, excede o limite |
Violações nulas de TCP | Fluxos TCP com valor de sinalizadores TCP igual a 0/Nulo |
Violações TCP Syn | Fluxos TCP com valor de sinalizadores TCP igual a 2/Syn |
Violações TCP Syn_Fin | Fluxos TCP com valor de sinalizadores TCP IN (3/SF, 7/RSF), denotando fluxos TCP Syn_Fin —ou— Syn_Rst_Fin, mas sem sinalizadores Urg/Ack/Psh. |
Excesso de pacotes TCP Syn_Ack curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e o valor dos sinalizadores TCP igual a 18/SA excedem o limite |
Excesso de pacotes TCP Syn_Rst curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e o valor dos sinalizadores TCP igual a 6/RS, denotando fluxos TCP Syn_Rst, mas sem sinalizadores Urg/Ack/Psh, excedem o limite |
Violações TCP Rst | Fluxos TCP com valor de sinalizadores TCP igual a 4/R |
Excesso de pacotes TCP Rst_Ack curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e valor de sinalizadores TCP IN (20/AR, 21/ARF), denotando fluxos TCP Rst_Ack, excedem o limite |
Violações TCP Fin | Fluxos TCP com valor de sinalizadores TCP IN (1/F, 5/RF) |
Excesso de pacotes TCP Fin_Ack curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e o valor dos sinalizadores TCP igual a 17/FA excedem o limite |
Excesso de pacotes TCP Psh_Ack_No-Syn_Fin curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e valor de sinalizadores TCP IN (24/PA, 28/APR), denotando TCP Psh_Ack, mas sem Syn/Fin, excedem o limite |
Excesso de pacotes TCP Psh_No-Ack curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e valor de sinalizadores TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF), denotando TCP Psh, mas sem Ack, excedem o limite |
Excesso de pacotes TCP Ack curtos | Fluxos TCP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 40 e 44 octetos (bytes) e o valor dos sinalizadores TCP igual a 16/A, denotando TCP Ack, excedem o limite |
Violações TCP Xmas | Fluxos TCP com valor de sinalizadores TCP igual a 41/UPF |
Violações TCP Urg | Fluxos TCP com valor de sinalizadores TCP IN (32-40, 42-63), denotando todas as combinações de sinalizador Urg, exceto a combinação XMAS |
Pacotes ICMP malformados | Fluxos ICMP com BytePerPacket (byte por pacote) menor que o mínimo de 28 octetos (bytes) |
Excesso de solicitações ICMP | Fluxos de solicitação ICMP com valor de porta Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) excede o limite |
Excesso de respostas ICMP | Fluxos de resposta ICMP com valor de porta Dst IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) excede o limite |
Inacessibilidades de rede ICMP | Fluxos inacessíveis de rede ICMP com valor de porta Dst IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS) |
Inacessibilidades de host ICMP | Fluxos inacessíveis de host ICMP com valor de porta Dst IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering) |
Inacessibilidades de porta ICMP | Fluxos inacessíveis de porta ICMP com valor de porta Dst igual a 771/Porta inacessível |
Inacessibilidades ICMP para ToS | Fluxos inacessíveis ICMP ToS com valor de porta Dst IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS) |
Redirecionamentos ICMP | Fluxos de redirecionamento ICMP com valor de porta Dst IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host) |
Fluxos de tempo ICMP excedido | Fluxos de tempo ICMP excedido com porta Dst IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly). Indica tentativa de Traceroute ou falha na remontagem do fragmento do datagrama. |
Fluxos de problemas de parâmetros ICMP | Fluxos de problema de parâmetro ICMP com porta Dst IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length). Geralmente indica algum erro de implementação local ou remoto, ou seja, datagramas inválidos. |
Fluxos de Traceroute ICMP | Os fluxos de traceroute ICMP com porta Dst são iguais a 7680/Trace Route. Indica tentativa de Traceroute. |
Fluxos de erro de conversão de datagrama ICMP | Fluxos de erro de conversão de datagrama ICMP com valor de porta Dst igual a 7936/Datagram Conversion Error, ou seja, para datagramas válidos. |
Pacotes UDP malformados | Fluxos UDP com BytePerPacket (byte por pacote) menor que o mínimo de 28 octetos (bytes) |
Excesso de pacotes UDP vazios | Fluxos UDP sem qualquer carga útil, ou seja, BytePerPacket (byte por pacote) de exatamente 28 octetos (bytes) |
Excesso de pacotes UDP curtos | Fluxos UDP com carga útil nominal, ou seja, BytePerPacket (byte por pacote) entre 29 e 32 octetos (bytes), excede o limite |
Excesso de solicitações Echo UDP | A solicitação Echo UDP para a porta Dst 7 (Echo) excede o limite |
Excesso de respostas Echo UDP | A resposta Echo UDP da porta Src 7 (Echo) excede o limite |
Fluxos de ataque terrestre | Fluxos com o mesmo IP Src e IP Dst. Faz com que a máquina alvo responda a si mesma continuamente |
Broadcast de solicitação ICMP | Fluxos de solicitação ICMP com valor de porta Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) enviados para um IP Broadcast/Multicast. Indica possível ataque de amplificação no IP Src. |
Inacessibilidades de protocolo ICMP | Fluxos inacessíveis do protocolo ICMP com valor de porta Dst igual a (770/Protocol Unreachable). Pode ser usado para realizar uma negação de serviço em sessões TCP ativas, fazendo com que a conexão TCP seja interrompida. |
Fluxos de Source Quench ICMP | Fluxos de Source Quench ICMP com valores iguais de porta Dst (1024/Source Quench). Desatualizado. Mas pode ser usado para tentar uma negação de serviço, limitando a largura de banda de um roteador ou host. |
Fluxos de ataque de Snork | Fluxos UDP com porta Src IN (7, 19, 135) e porta Dst IN (135). Indica ataque de negação de serviço contra o serviço RPC do Windows NT |
Broadcasts de solicitação de eco UDP | Solicitação de Echo UDP para porta Dst 7 (Echo) enviada para um IP Broadcast/Multicast. Indica possível ataque de amplificação no IP Src. |
Broadcasts Echo-Chargen UDP | Fluxos UDP, da porta Src 7/Echo para a porta Dst 19/Chargen, enviado para IP Broadcast/Multicast. Indica possível ataque de amplificação no IP Src. |
Broadcasts Chargen-Echo UDP | Fluxos UDP, da porta Src 19/Chargen para a porta Dst 7/Echo, enviados para um IP Broadcast/Multicast. Indica possível ataque de amplificação no IP Src. |
Excesso de fluxos Echo-Chargen UDP | Os fluxos UDP, da porta Src 7/Echo à porta Dst 19/Chargen, enviados para qualquer IP unicast excedem o limite. Indica possível ataque de amplificação no IP Src. |
Excesso de fluxos Chargen-Echo UDP | Os fluxos UDP, da porta Src 19/Chargen à porta Dst 7/Echo, enviados para qualquer IP unicast excedem o limite. Indica possível ataque de amplificação no IP Src. |