Problema de seguridad & catálogo de clase
La siguiente tabla nombra algunas de las abreviaturas más importantes usadas en este documento con su respectiva palabra/frase
| Configuración | Descripción |
|---|---|
| IP | Dirección del protocolo de Internet |
| Src | Origen |
| Dst | Destino |
| P2P | Entre pares |
| ToS | Tipo de servicio |
| DoS | Denegación del servicio |
| TCP: U-A-P-R-S-F | TCP: Urg – Ack – Psh – Rst – Syn – Fin |
La tabla a continuación nombra el conjunto de clases usadas para clasificar los problemas con una breve descripción
| Nombre de la clase | Descripción |
|---|---|
| Src - Dst malo | La IP Src o la IP Dst del flujo es sospechosa |
| Flujos sospechosos | Algún atributo diferente a la IP Src o la IP Dst del flujo es sospechoso |
| DoS | Ataque de denegación del servicio |
La tabla a continuación enumera el conjunto de problemas detectados, su clasificación seguida por una breve descripción
Nombre del problema | Descripción |
|---|---|
Flujos inválidos de Src-Dst | IP Src o Dst inválida independientemente del perímetro de la empresa, por ejemplo, IP Loopback o IP Local IANA, ya sea en Src o Dst |
Flujos de origen no Unicast | La IP Src es una IP de multicast o broadcast o red. Es decir, no es de unicast |
Exceso de flujos de multicast | El tráfico de multicast excede el umbral para cualquier IP Src dada |
Exceso de flujos de broadcast | El tráfico de broadcast excede el umbral para cualquier IP Src dada |
Exceso de flujos de broadcast de red | El tráfico de broadcast excede el umbral para cualquier IP Src dada |
Paquetes de IP malformados | Flujos con byte por paquete inferior o igual al mínimo de 20 octetos (bytes) |
Flujos de ToS Inválidos | Flujos con valores ToS inválidos |
Paquetes de TCP malformados | Flujos de TCP con byte por paquete inferior o igual al mínimo de 40 octetos (bytes) |
Exceso de paquetes vacíos de TCP | Flujos de TCP sin carga útil. Es decir, byte por paquete exactamente de 40 octetos (bytes) con un valor de indicador de TCP IN (25-27, 29-31). Los demás valores de indicador de TCP se incluyen en otros eventos basados en TCP a continuación |
Exceso de paquetes cortos de conexión TCP | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (19/ASF, 22/ARS, 23/ARSF), denotando sesiones de TCP abiertas y cerradas que exceden el umbral |
Infracciones de TCP Null | Flujos de TCP con un valor de indicador de TCP equivalente a 0/Null |
Infracciones de TCP Syn | Flujos de TCP con un valor de indicador de TCP equivalente a 2/Syn |
Infracciones de TCP Syn_Fin | Flujos de TCP con un valor de indicador de TCP IN (3/SF, 7/RSF), denotando flujos de TCP Syn_Fin - o Syn_Rst_Fin, pero sin indicadores Urg/Ack/ Psh. |
Exceso de paquetes cortos de TCP Syn_Ack | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 18/SA que exceden el umbral |
Exceso de paquetes cortos de TCP Syn_Rst | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 6/RS, denotando flujos de TCP Syn_Rst, pero sin indicadores Urg/Ack/ Psh que exceden el umbral |
Infracciones de TCP Rst | Flujos de TCP con un valor de indicador de TCP equivalente a 4/R |
Exceso de paquetes cortos de TCP Rst_Ack | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (20/AR, 21/ARF), denotando flujos de TCP Rst_Ack que exceden el umbral |
Infracciones de TCP Fin | Flujos de TCP con un valor de indicador de TCP IN (1/F, 5/RF) |
Exceso de paquetes cortos de TCP Fin_Ack | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 17/FA que exceden el umbral
|
Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (24/PA, 28/APR), denotando TCP Psh_Ack pero sin Syn/Fin
|
Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF), denotando TCP Psh pero sin Ack que exceden el umbral |
Exceso de paquetes cortos de TCP Ack | Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 16/A, denotando TCP Ack que exceden el umbral |
Infracciones de TCP Xmas | Flujos de TCP con un valor de indicador de TCP equivalente a 41/UPF |
Infracciones de TCP Urg | Flujos de TCP con un valor de indicador de TCP IN (32-40, 42-63), denotando todas las combinaciones del indicador Urg exceptuando la combinación de XMAS |
Paquetes de ICMP malformados | Flujos de ICMP con byte por paquete inferior al mínimo de 28 octetos (bytes)
|
Exceso de solicitudes de ICMP | Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) que exceden el umbral |
Exceso de respuestas de ICMP | Flujos de respuesta de ICMP con un valor de puerto Dst IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) que exceden el umbral |
Red inalcanzable para ICMP | Flujos de red inalcanzable para ICMP con un valor de puerto Dst IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS) |
Host inalcanzable para ICMP | Flujos de host inalcanzable para ICMP con un valor de puerto Dst IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering) |
Puerto inalcanzable para ICMP | Flujos de puerto inalcanzable para ICMP con un valor de puerto Dst igual a 771/Port Unreachable |
ToS inalcanzable para ICMP | Flujos de ToS inalcanzable para ICMP con un valor de puerto Dst IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS) |
Redireccionamiento del ICMP | Flujos de redireccionamiento del ICMP con un valor de puerto Dst IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host) |
Flujos de tiempo excedido del ICMP | Flujos de tiempo excedidos del ICMP con un valor de puerto Dst IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly). Indica un intento de traceroute o un fallo al resolver la fragmentación de datagrama. |
Flujos de problema de parámetro del ICMP | Flujos de problema de parámetro del ICMP con un valor de puerto Dst IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length). Normalmente indica algún error local o remoto de implementación, es decir, datagramas inválidos. |
Flujos de traceroute del ICMP | Flujos de traceroute del ICMP con un valor de puerto Dst igual a 7680/Trace Route. Indica un intento de traceroute. |
Flujos de error de conversión de datagrama del ICMP | Flujos de error de conversión de datagrama del ICMP con un valor de puerto Dst equivalente a 7936/Datagram Conversion Error, es decir, para datagramas válidos. |
Paquetes de UDP malformados | Flujos de UPD con byte por paquete inferior al mínimo de 28 octetos (bytes) |
Exceso de paquetes vacíos de UDP | Flujos de UDP sin carga útil. Es decir, byte por paquete exactamente de 28 octetos (bytes) |
Exceso de paquetes cortos de UDP | Flujos de UPD con carga útil nominal. Es decir, byte por paquete entre 29 y 32 octetos (bytes) que exceden el umbral |
Exceso de solicitudes de Echo de UDP | Solicitud de Echo de UDP al puerto Dst 7 (Echo) que excede el umbral |
Exceso de respuestas de Echo de UDP | Respuesta de Echo de UDP al puerto Src 7 (Echo) que excede el umbral |
Flujos de ataque terrestre | Flujos con la misma IP Src e IP Dst. Hace que el equipo receptor se conteste a sí mismo continuamente. |
Difusiones de la solicitud de ICMP | Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) enviados a la IP de broadcast/multicast. Indica posible ataque de amplificación contra la IP Src. |
Protocolo inalcanzable para ICMP | Flujos de protocolo inalcanzable para ICMP con un valor de puerto de Dst igual a (770/Protocol Unreachable). Se puede utilizar para realizar una denegación del servicio en sesiones activas del TCP, causando la caída de la conexión TCP. |
Flujos de disminución de velocidad en origen de ICMP | Flujos de disminución de velocidad en origen de ICMP con un valor de puerto Dst igual a (1024/Source Quench). Obsoleto. Pero puede ser utilizado para intentar una denegación del servicio limitando el ancho de banda de un router o de un host. |
Flujos de ataque snork | Flujos de UDP con un valor de puerto Src IN (7, 19, 135) y puerto Dst IN (135). Indica un ataque de denegación del servicio contra Windows NT RPC |
Difusiones de solicitudes de Echo de UDP | Solicitudes de Echo de UDP al puerto Dst 7 (Echo) enviadas a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src. |
Difusiones Echo-Chargen de UDP | Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la Src. |
Difusiones Chargen-Echo de UDP | Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src. |
Exceso de difusiones Echo- Chargen de UPD | Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src. |
Exceso de difusiones Chargen-Echo UPD | Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src. |
