La siguiente tabla enumera algunas de las abreviaturas importantes con sus palabras/frases completamente expandidas que se usan en este documento.
Ajuste | Descripción |
---|---|
IP | Dirección del protocolo de Internet |
Origen | Fuente |
Horario de verano | Destino |
P2P | De igual a igual |
Condiciones de servicio | Tipo de servicio |
DoS | Negación de servicio |
TCP: UAPRSF | TCP: Urg – Ack – Psh – Rst – Syn – Fin |
La siguiente tabla enumera el conjunto de clases utilizadas para clasificar problemas con una breve descripción.
Nombre de la clase | Descripción |
---|---|
Fuente incorrecta – Horario de verano | La IP Src o la IP Dst del flujo es sospechosa |
Flujos sospechosos | Algunos atributos distintos de Src IP y Dst IP del flujo son sospechosos |
DoS | Ataque de denegación de servicio |
La siguiente tabla enumera el conjunto de problemas detectados, su clasificación seguida de una breve descripción.
Nombre del problema |
Descripción |
---|---|
Flujos Src-Dst no válidos |
Src o Dst IP no válidos, independientemente del perímetro de la empresa, por ejemplo, IP de bucle invertido o IP locales de IANA en Src o Dst IP |
Flujos de origen no unicast |
Src IP es Multicast o Broadcast o Network IP, es decir, no Unicast |
Flujos de multidifusión en exceso |
El tráfico de multidifusión supera el umbral para cualquier IP Src determinada |
Flujos de transmisión en exceso |
El tráfico de difusión supera el umbral para cualquier IP Src determinada |
Exceso de flujos de Networkcast |
El tráfico destinado a IP de red excede el umbral para cualquier IP Src dada |
Paquetes IP malformados |
Flujos con BytePerPacket menor o igual al mínimo de 20 octetos (bytes) |
Flujos de ToS no válidos |
Flujos con valores de ToS no válidos |
Paquetes TCP con formato incorrecto |
Flujos TCP con BytePerPacket menos del mínimo de 40 octetos (bytes) |
Exceso de paquetes TCP vacíos |
Flujos de TCP sin ningún tipo de carga útil, es decir, BytePerPacket exactamente 40 octetos (bytes) con valor IN de TCP FLAGS (25–27, 29–31). Todos los demás valores de TCP FLAGS se incluyen en otros eventos basados en TCP que se indican a continuación. |
Exceso de paquetes de protocolo de enlace TCP cortos |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (19/ASF, 22/ARS, 23/ARSF), que indica sesiones TCP abiertas y cerradas, supera el umbral |
Violaciones nulas de TCP |
El valor de flujos TCP con indicadores TCP es igual a 0/nulo |
Violaciones de sincronización TCP |
El valor de flujos TCP con indicadores TCP es igual a 2/Syn |
Violaciones TCP Syn_Fin |
Flujos TCP con indicadores TCP valor IN (3/SF, 7/RSF), que denotan flujos TCP Syn_Fin –o– Syn_Rst_Fin, pero sin indicadores Urg/Ack/Psh. |
Exceso de paquetes cortos TCP Syn_Ack |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 18/SA supera el umbral |
Exceso de paquetes cortos TCP Syn_Rst |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de los indicadores TCP es igual a 6/RS, lo que indica flujos TCP Syn_Rst, pero sin indicadores Urg/Ack/Psh, supera el umbral |
Primeras infracciones de TCP |
El valor de flujos TCP con banderas TCP es igual a 4/R |
Exceso de paquetes cortos TCP Rst_Ack |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (20/AR, 21/ARF), que denota flujos TCP Rst_Ack, supera el umbral |
Violaciones de fin de TCP |
Flujos TCP con valor de banderas TCP IN (1/F, 5/RF) |
Exceso de paquetes Fin_Ack de TCP cortos |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 17/FA supera el umbral |
Exceso de paquetes cortos TCP Psh_Ack_No-Syn_Fin |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (24/PA, 28/APR), que indica TCP Psh_Ack pero sin Syn/Fin, supera el umbral |
Exceso de paquetes cortos TCP Psh_No-Ack |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF ), que denota TCP Psh pero sin Ack, excede el umbral |
Exceso de paquetes cortos TCP Ack |
Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 16/A, lo que indica TCP Ack, supera el umbral |
Violaciones de Navidad de TCP |
El valor de flujos TCP con banderas TCP es igual a 41/UPF |
Infracciones de urgencia de TCP |
Flujos TCP con indicadores TCP valor IN (32-40, 42-63), que denotan todas las combinaciones de Urg Flag excepto la combinación XMAS |
Paquetes ICMP con formato incorrecto |
Flujos ICMP con BytePerPacket menos del mínimo de 28 octetos (bytes) |
Exceso de solicitudes ICMP |
Los flujos de solicitud ICMP con valor de puerto Dst IN (2048/Solicitud de eco, 3328/Solicitud de marca de tiempo, 3840/Solicitud de información, 4352/Solicitud de máscara de dirección) exceden el umbral |
Exceso de respuestas ICMP |
Los flujos de respuesta de ICMP con valor de puerto Dst IN (0/Respuesta de eco, 3584/Respuesta de marca de tiempo, 4096/Respuesta de información, 4608/Respuesta de máscara de dirección) exceden el umbral |
Inalcanzables de la red ICMP |
Flujos de red ICMP inalcanzables con valor de puerto Dst IN (768/Red inalcanzable, 774/Red desconocida, 777/Red administrativamente prohibida, 779/Red inalcanzable para TOS) |
Inalcanzables del host ICMP |
Flujos de host ICMP inalcanzables con valor de puerto Dst IN (769/Host inalcanzable, 773/Error de ruta de origen, 775/Host desconocido, 776/Host de origen aislado (obsoleto), 778/Host prohibido administrativamente, 780/Host inalcanzable para TOS, 781/ Comunicación prohibida administrativamente por filtrado) |
Inalcanzables de puerto ICMP |
Puerto ICMP Flujos inalcanzables con valor de Puerto Dst igual a 771/Puerto inalcanzable |
ICMP inalcanzables para ToS |
ICMP ToS Flujos inalcanzables con valor de puerto Dst IN (779/Red inalcanzable para TOS, 780/Host inalcanzable para TOS) |
Redireccionamientos ICMP |
Flujos de redireccionamiento ICMP con valor de puerto Dst IN (1280/Redireccionamiento para red, 1281/Redireccionamiento para host, 1282/Redireccionamiento para ToS y red, 1283/Redireccionamiento para ToS y host) |
Flujos de tiempo excedido ICMP |
ICMP Time Exceeded Flows with Dst Port IN (2816/Tiempo de vida igual a 0 durante el tránsito, 2817/Tiempo de vida igual a 0 durante el reensamblaje). Indica un intento de Traceroute o una falla en el reensamblaje del fragmento de datagrama. |
Flujos de problemas de parámetros ICMP |
El problema del parámetro ICMP fluye con el puerto Dst IN (3072/Encabezado IP incorrecto, 3073/Opción requerida faltante, 3074/Longitud incorrecta). Generalmente indica algún error de implementación local o remota, es decir, datagramas no válidos. |
Flujos de ruta de rastreo ICMP |
Los flujos ICMP Traceroute con Dst Port equivalen a 7680/Trace Route. Indica un intento de rastreo de ruta. |
Flujos de errores de conversión de datagramas ICMP |
Flujos de errores de conversión de datagramas ICMP con valor de puerto Dst igual a 7936/Error de conversión de datagramas, es decir, para datagramas válidos. |
Paquetes UDP malformados |
Flujos UDP con BytePerPacket menos del mínimo de 28 octetos (bytes) |
Exceso de paquetes UDP vacíos |
Flujos UDP sin ninguna carga útil, es decir, BytePerPacket exactamente 28 octetos (bytes) |
Exceso de paquetes UDP cortos |
Flujos UDP con carga útil nominal, es decir, BytePerPacket entre 29 y 32 octetos (bytes), supera el umbral |
Exceso de solicitudes de eco UDP |
La solicitud de eco UDP al puerto Dst 7 (eco) supera el umbral |
Exceso de respuestas de eco UDP |
La respuesta de eco UDP del puerto Src 7 (eco) supera el umbral |
Flujos de ataque terrestre |
Flujos con la misma Src IP y Dst IP. Hace que la máquina de destino se responda a sí misma continuamente |
Difusiones de solicitud ICMP |
Flujos de solicitud ICMP con valor de puerto Dst IN (2048/Solicitud de eco, 3328/Solicitud de marca de tiempo, 3840/Solicitud de información, 4352/Solicitud de máscara de dirección) enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src. |
Inalcanzables del protocolo ICMP |
Protocolo ICMP Flujos inalcanzables con valor de Puerto Dst igual a (770/Protocolo inalcanzable). Se puede utilizar para realizar una denegación de servicio en sesiones TCP activas, lo que hace que se corte la conexión TCP. |
Flujos de enfriamiento de fuente ICMP |
Flujos ICMP Source Quench con valor de Dst Port igual a (1024/Source Quench). Fuera de fecha. Pero se puede usar para intentar una denegación de servicio al limitar el ancho de banda de un enrutador o host. |
Flujos de ataque de Snork |
Flujos UDP con Src Port IN (7, 19, 135) y Dst Port IN (135). Indica un ataque de denegación de servicio contra el servicio RPC de Windows NT |
Emisiones de solicitud de eco UDP |
Solicitud de eco UDP al puerto Dst 7 (eco) enviada a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src. |
Emisiones de carga de eco UDP |
Flujos UDP, desde Src Port 7/Echo a Dst Port 19/Chargen, enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src. |
Transmisiones UDP Chargen-Echo |
Flujos UDP, desde Src Port 19/Chargen a Dst Port 7/Echo, enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src. |
Exceso de flujos de carga de eco UDP |
Los flujos UDP, desde Src Port 7/Echo hasta Dst Port 19/Chargen, enviados a cualquier IP de unidifusión exceden el umbral. Indica posible ataque de amplificación a la IP Src. |
Exceso de flujos UDP Chargen-Echo |
Los flujos UDP, desde Src Port 19/Chargen hasta Dst Port 7/Echo, enviados a cualquier IP de unidifusión que superan el umbral. Indica posible ataque de amplificación a la IP Src. |