Problemas de seguridad & catálogo de clase

Problema de seguridad & catálogo de clase

Problemas de seguridad de catálogos de clase - NetFlow Analyzer

La siguiente tabla nombra algunas de las abreviaturas más importantes usadas en este documento con su respectiva palabra/frase

Configuración Descripción
IP Dirección del protocolo de Internet
Src Origen
Dst Destino
P2P Entre pares
ToS Tipo de servicio
DoS Denegación del servicio
TCP: U-A-P-R-S-F TCP: Urg – Ack – Psh – Rst – Syn – Fin

La tabla a continuación nombra el conjunto de clases usadas para clasificar los problemas con una breve descripción

Nombre de la clase Descripción
Src - Dst malo La IP Src o la IP Dst del flujo es sospechosa
Flujos sospechosos Algún atributo diferente a la IP Src o la IP Dst del flujo es sospechoso
DoS Ataque de denegación del servicio

La tabla a continuación enumera el conjunto de problemas detectados, su clasificación seguida por una breve descripción

Nombre del problema

Descripción

Src – Dst malo

Flujos inválidos de Src-Dst

IP Src o Dst inválida independientemente del perímetro de la empresa, por ejemplo, IP Loopback o IP Local IANA, ya sea en Src o Dst

Flujos de origen no Unicast

La IP Src es una IP de multicast o broadcast o red. Es decir, no es de unicast

Exceso de flujos de multicast

El tráfico de multicast excede el umbral para cualquier IP Src dada

Exceso de flujos de broadcast

El tráfico de broadcast excede el umbral para cualquier IP Src dada

Exceso de flujos de broadcast de red

El tráfico de broadcast excede el umbral para cualquier IP Src dada

Flujos sospechosos

Paquetes de IP malformados

Flujos con byte por paquete inferior o igual al mínimo de 20 octetos (bytes)

Flujos de ToS Inválidos

Flujos con valores ToS inválidos

Paquetes de TCP malformados

Flujos de TCP con byte por paquete inferior o igual al mínimo de 40 octetos (bytes)

Exceso de paquetes vacíos de TCP

Flujos de TCP sin carga útil. Es decir, byte por paquete exactamente de 40 octetos (bytes) con un valor de indicador de TCP IN (25-27, 29-31). Los demás valores de indicador de TCP se incluyen en otros eventos basados en TCP a continuación

Exceso de paquetes cortos de conexión TCP

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (19/ASF, 22/ARS, 23/ARSF), denotando sesiones de TCP abiertas y cerradas que exceden el umbral

Infracciones de TCP Null

Flujos de TCP con un valor de indicador de TCP equivalente a 0/Null

Infracciones de TCP Syn

Flujos de TCP con un valor de indicador de TCP equivalente a 2/Syn

Infracciones de TCP Syn_Fin

Flujos de TCP con un valor de indicador de TCP IN (3/SF, 7/RSF), denotando flujos de TCP Syn_Fin - o Syn_Rst_Fin, pero sin indicadores Urg/Ack/ Psh.

Exceso de paquetes cortos de TCP Syn_Ack

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 18/SA que exceden el umbral

Exceso de paquetes cortos de TCP Syn_Rst

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 6/RS, denotando flujos de TCP Syn_Rst, pero sin indicadores Urg/Ack/ Psh que exceden el umbral

Infracciones de TCP Rst

Flujos de TCP con un valor de indicador de TCP equivalente a 4/R

Exceso de paquetes cortos de TCP Rst_Ack

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (20/AR, 21/ARF), denotando flujos de TCP Rst_Ack que exceden el umbral

Infracciones de TCP Fin

Flujos de TCP con un valor de indicador de TCP IN (1/F, 5/RF)

Exceso de paquetes cortos de TCP Fin_Ack

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 17/FA que exceden el umbral

 

Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (24/PA, 28/APR), denotando TCP Psh_Ack pero sin Syn/Fin

 

Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF), denotando TCP Psh pero sin Ack que exceden el umbral

Exceso de paquetes cortos de TCP Ack

Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 16/A, denotando TCP Ack que exceden el umbral

Infracciones de TCP Xmas

Flujos de TCP con un valor de indicador de TCP equivalente a 41/UPF

Infracciones de TCP Urg

Flujos de TCP con un valor de indicador de TCP IN (32-40, 42-63), denotando todas las combinaciones del indicador Urg exceptuando la combinación de XMAS

Paquetes de ICMP malformados

Flujos de ICMP con byte por paquete inferior al mínimo de 28 octetos (bytes)

 

Exceso de solicitudes de ICMP

Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) que exceden el umbral

Exceso de respuestas de ICMP

Flujos de respuesta de ICMP con un valor de puerto Dst IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) que exceden el umbral

Red inalcanzable para ICMP

Flujos de red inalcanzable para ICMP con un valor de puerto Dst IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS)

Host inalcanzable para ICMP

Flujos de host inalcanzable para ICMP con un valor de puerto Dst IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering)

Puerto inalcanzable para ICMP

Flujos de puerto inalcanzable para ICMP con un valor de puerto Dst igual a 771/Port Unreachable

ToS inalcanzable para ICMP

Flujos de ToS inalcanzable para ICMP con un valor de puerto Dst IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS)

Redireccionamiento del ICMP

Flujos de redireccionamiento del ICMP con un valor de puerto Dst IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host)

Flujos de tiempo excedido del ICMP

Flujos de tiempo excedidos del ICMP con un valor de puerto Dst IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly). Indica un intento de traceroute o un fallo al resolver la fragmentación de datagrama.

Flujos de problema de parámetro del ICMP

Flujos de problema de parámetro del ICMP con un valor de puerto Dst IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length). Normalmente indica algún error local o remoto de implementación, es decir, datagramas inválidos.

Flujos de traceroute del ICMP

Flujos de traceroute del ICMP con un valor de puerto Dst igual a 7680/Trace Route. Indica un intento de traceroute.

Flujos de error de conversión de datagrama del ICMP

Flujos de error de conversión de datagrama del ICMP con un valor de puerto Dst equivalente a 7936/Datagram Conversion Error, es decir, para datagramas válidos.

Paquetes de UDP malformados

Flujos de UPD con byte por paquete inferior al mínimo de 28 octetos (bytes)

Exceso de paquetes vacíos de UDP

Flujos de UDP sin carga útil. Es decir, byte por paquete exactamente de 28 octetos (bytes)

Exceso de paquetes cortos de UDP

Flujos de UPD con carga útil nominal. Es decir, byte por paquete entre 29 y 32 octetos (bytes) que exceden el umbral

Exceso de solicitudes de Echo de UDP

Solicitud de Echo de UDP al puerto Dst 7 (Echo) que excede el umbral

Exceso de respuestas de Echo de UDP

Respuesta de Echo de UDP al puerto Src 7 (Echo) que excede el umbral

DoS

Flujos de ataque terrestre

Flujos con la misma IP Src e IP Dst. Hace que el equipo receptor se conteste a sí mismo continuamente.

Difusiones de la solicitud de ICMP

Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) enviados a la IP de broadcast/multicast. Indica posible ataque de amplificación contra la IP Src.

Protocolo inalcanzable para ICMP

Flujos de protocolo inalcanzable para ICMP con un valor de puerto de Dst igual a (770/Protocol Unreachable). Se puede utilizar para realizar una denegación del servicio en sesiones activas del TCP, causando la caída de la conexión TCP.

Flujos de disminución de velocidad en origen de ICMP

Flujos de disminución de velocidad en origen de ICMP con un valor de puerto Dst igual a (1024/Source Quench). Obsoleto. Pero puede ser utilizado para intentar una denegación del servicio limitando el ancho de banda de un router o de un host.

Flujos de ataque snork

Flujos de UDP con un valor de puerto Src IN (7, 19, 135) y puerto Dst IN (135). Indica un ataque de denegación del servicio contra Windows NT RPC

Difusiones de solicitudes de Echo de UDP

Solicitudes de Echo de UDP al puerto Dst 7 (Echo) enviadas a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src.

Difusiones Echo-Chargen de UDP

Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la Src.

Difusiones Chargen-Echo de UDP

Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src.

Exceso de difusiones Echo- Chargen de UPD

Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src.

Exceso de difusiones Chargen-Echo UPD

Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src.

Section Content

Clientes de NetFlow Analyzer

Related products