Módulo de análisis de seguridad avanzado

Catálogo de clases y problemas de seguridad

catálogo de clases de problemas

La siguiente tabla enumera algunas de las abreviaturas importantes con sus palabras/frases completamente expandidas que se usan en este documento.

Ajuste Descripción
IP Dirección del protocolo de Internet
Origen Fuente
Horario de verano Destino
P2P De igual a igual
Condiciones de servicio Tipo de servicio
DoS Negación de servicio
TCP: UAPRSF TCP: Urg – Ack – Psh – Rst – Syn – Fin

La siguiente tabla enumera el conjunto de clases utilizadas para clasificar problemas con una breve descripción.

Nombre de la clase Descripción
Fuente incorrecta – Horario de verano La IP Src o la IP Dst del flujo es sospechosa
Flujos sospechosos Algunos atributos distintos de Src IP y Dst IP del flujo son sospechosos
DoS Ataque de denegación de servicio

La siguiente tabla enumera el conjunto de problemas detectados, su clasificación seguida de una breve descripción.

Nombre del problema

Descripción

Fuente incorrecta – Horario de verano

Flujos Src-Dst no válidos

Src o Dst IP no válidos, independientemente del perímetro de la empresa, por ejemplo, IP de bucle invertido o IP locales de IANA en Src o Dst IP

Flujos de origen no unicast

Src IP es Multicast o Broadcast o Network IP, es decir, no Unicast

Flujos de multidifusión en exceso

El tráfico de multidifusión supera el umbral para cualquier IP Src determinada

Flujos de transmisión en exceso

El tráfico de difusión supera el umbral para cualquier IP Src determinada

Exceso de flujos de Networkcast

El tráfico destinado a IP de red excede el umbral para cualquier IP Src dada

Flujos sospechosos

Paquetes IP malformados

Flujos con BytePerPacket menor o igual al mínimo de 20 octetos (bytes)

Flujos de ToS no válidos

Flujos con valores de ToS no válidos

Paquetes TCP con formato incorrecto

Flujos TCP con BytePerPacket menos del mínimo de 40 octetos (bytes)

Exceso de paquetes TCP vacíos

Flujos de TCP sin ningún tipo de carga útil, es decir, BytePerPacket exactamente 40 octetos (bytes) con valor IN de TCP FLAGS (25–27, 29–31). Todos los demás valores de TCP FLAGS se incluyen en otros eventos basados ​​en TCP que se indican a continuación.

Exceso de paquetes de protocolo de enlace TCP cortos

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (19/ASF, 22/ARS, 23/ARSF), que indica sesiones TCP abiertas y cerradas, supera el umbral

Violaciones nulas de TCP

El valor de flujos TCP con indicadores TCP es igual a 0/nulo

Violaciones de sincronización TCP

El valor de flujos TCP con indicadores TCP es igual a 2/Syn

Violaciones TCP Syn_Fin

Flujos TCP con indicadores TCP valor IN (3/SF, 7/RSF), que denotan flujos TCP Syn_Fin –o– Syn_Rst_Fin, pero sin indicadores Urg/Ack/Psh.

Exceso de paquetes cortos TCP Syn_Ack

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 18/SA supera el umbral

Exceso de paquetes cortos TCP Syn_Rst

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de los indicadores TCP es igual a 6/RS, lo que indica flujos TCP Syn_Rst, pero sin indicadores Urg/Ack/Psh, supera el umbral

Primeras infracciones de TCP

El valor de flujos TCP con banderas TCP es igual a 4/R

Exceso de paquetes cortos TCP Rst_Ack

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (20/AR, 21/ARF), que denota flujos TCP Rst_Ack, supera el umbral

Violaciones de fin de TCP

Flujos TCP con valor de banderas TCP IN (1/F, 5/RF)

Exceso de paquetes Fin_Ack de TCP cortos

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 17/FA supera el umbral

Exceso de paquetes cortos TCP Psh_Ack_No-Syn_Fin

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (24/PA, 28/APR), que indica TCP Psh_Ack pero sin Syn/Fin, supera el umbral

Exceso de paquetes cortos TCP Psh_No-Ack

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y valor de indicadores TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF ), que denota TCP Psh pero sin Ack, excede el umbral

Exceso de paquetes cortos TCP Ack

Flujos TCP con carga útil nominal, es decir, BytePerPacket entre 40 y 44 octetos (bytes) y el valor de TCP Flags es igual a 16/A, lo que indica TCP Ack, supera el umbral

Violaciones de Navidad de TCP

El valor de flujos TCP con banderas TCP es igual a 41/UPF

Infracciones de urgencia de TCP

Flujos TCP con indicadores TCP valor IN (32-40, 42-63), que denotan todas las combinaciones de Urg Flag excepto la combinación XMAS

Paquetes ICMP con formato incorrecto

Flujos ICMP con BytePerPacket menos del mínimo de 28 octetos (bytes)

Exceso de solicitudes ICMP

Los flujos de solicitud ICMP con valor de puerto Dst IN (2048/Solicitud de eco, 3328/Solicitud de marca de tiempo, 3840/Solicitud de información, 4352/Solicitud de máscara de dirección) exceden el umbral

Exceso de respuestas ICMP

Los flujos de respuesta de ICMP con valor de puerto Dst IN (0/Respuesta de eco, 3584/Respuesta de marca de tiempo, 4096/Respuesta de información, 4608/Respuesta de máscara de dirección) exceden el umbral

Inalcanzables de la red ICMP

Flujos de red ICMP inalcanzables con valor de puerto Dst IN (768/Red inalcanzable, 774/Red desconocida, 777/Red administrativamente prohibida, 779/Red inalcanzable para TOS)

Inalcanzables del host ICMP

Flujos de host ICMP inalcanzables con valor de puerto Dst IN (769/Host inalcanzable, 773/Error de ruta de origen, 775/Host desconocido, 776/Host de origen aislado (obsoleto), 778/Host prohibido administrativamente, 780/Host inalcanzable para TOS, 781/ Comunicación prohibida administrativamente por filtrado)

Inalcanzables de puerto ICMP

Puerto ICMP Flujos inalcanzables con valor de Puerto Dst igual a 771/Puerto inalcanzable

ICMP inalcanzables para ToS

ICMP ToS Flujos inalcanzables con valor de puerto Dst IN (779/Red inalcanzable para TOS, 780/Host inalcanzable para TOS)

Redireccionamientos ICMP

Flujos de redireccionamiento ICMP con valor de puerto Dst IN (1280/Redireccionamiento para red, 1281/Redireccionamiento para host, 1282/Redireccionamiento para ToS y red, 1283/Redireccionamiento para ToS y host)

Flujos de tiempo excedido ICMP

ICMP Time Exceeded Flows with Dst Port IN (2816/Tiempo de vida igual a 0 durante el tránsito, 2817/Tiempo de vida igual a 0 durante el reensamblaje). Indica un intento de Traceroute o una falla en el reensamblaje del fragmento de datagrama.

Flujos de problemas de parámetros ICMP

El problema del parámetro ICMP fluye con el puerto Dst IN (3072/Encabezado IP incorrecto, 3073/Opción requerida faltante, 3074/Longitud incorrecta). Generalmente indica algún error de implementación local o remota, es decir, datagramas no válidos.

Flujos de ruta de rastreo ICMP

Los flujos ICMP Traceroute con Dst Port equivalen a 7680/Trace Route. Indica un intento de rastreo de ruta.

Flujos de errores de conversión de datagramas ICMP

Flujos de errores de conversión de datagramas ICMP con valor de puerto Dst igual a 7936/Error de conversión de datagramas, es decir, para datagramas válidos.

Paquetes UDP malformados

Flujos UDP con BytePerPacket menos del mínimo de 28 octetos (bytes)

Exceso de paquetes UDP vacíos

Flujos UDP sin ninguna carga útil, es decir, BytePerPacket exactamente 28 octetos (bytes)

Exceso de paquetes UDP cortos

Flujos UDP con carga útil nominal, es decir, BytePerPacket entre 29 y 32 octetos (bytes), supera el umbral

Exceso de solicitudes de eco UDP

La solicitud de eco UDP al puerto Dst 7 (eco) supera el umbral

Exceso de respuestas de eco UDP

La respuesta de eco UDP del puerto Src 7 (eco) supera el umbral

DoS

Flujos de ataque terrestre

Flujos con la misma Src IP y Dst IP. Hace que la máquina de destino se responda a sí misma continuamente

Difusiones de solicitud ICMP

Flujos de solicitud ICMP con valor de puerto Dst IN (2048/Solicitud de eco, 3328/Solicitud de marca de tiempo, 3840/Solicitud de información, 4352/Solicitud de máscara de dirección) enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src.

Inalcanzables del protocolo ICMP

Protocolo ICMP Flujos inalcanzables con valor de Puerto Dst igual a (770/Protocolo inalcanzable). Se puede utilizar para realizar una denegación de servicio en sesiones TCP activas, lo que hace que se corte la conexión TCP.

Flujos de enfriamiento de fuente ICMP

Flujos ICMP Source Quench con valor de Dst Port igual a (1024/Source Quench). Fuera de fecha. Pero se puede usar para intentar una denegación de servicio al limitar el ancho de banda de un enrutador o host.

Flujos de ataque de Snork

Flujos UDP con Src Port IN (7, 19, 135) y Dst Port IN (135). Indica un ataque de denegación de servicio contra el servicio RPC de Windows NT

Emisiones de solicitud de eco UDP

Solicitud de eco UDP al puerto Dst 7 (eco) enviada a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src.

Emisiones de carga de eco UDP

Flujos UDP, desde Src Port 7/Echo a Dst Port 19/Chargen, enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src.

Transmisiones UDP Chargen-Echo

Flujos UDP, desde Src Port 19/Chargen a Dst Port 7/Echo, enviados a una IP de difusión/multidifusión. Indica posible ataque de amplificación a la IP Src.

Exceso de flujos de carga de eco UDP

Los flujos UDP, desde Src Port 7/Echo hasta Dst Port 19/Chargen, enviados a cualquier IP de unidifusión exceden el umbral. Indica posible ataque de amplificación a la IP Src.

Exceso de flujos UDP Chargen-Echo

Los flujos UDP, desde Src Port 19/Chargen hasta Dst Port 7/Echo, enviados a cualquier IP de unidifusión que superan el umbral. Indica posible ataque de amplificación a la IP Src.