Sucesos de ataque

Envenenamiento de direcciones

Técnica de hacking que redirige los datos a un sistema diferente (para paquetes de snooping) o a direcciones inexistentes. El envenenamiento de direcciones también se denomina suplantación de protocolo de resolución de direcciones (ARP) en IPv4 y suplantación de descubrimiento de vecinos en IPv6. Se notifica a IDS siempre que cambia la memoria caché de ARP o la memoria caché de Neighbor Discovery.

Ataque de fragón

Tipo de ataque de denegación de servicio en el que se envían solicitudes de eco User Datagram Protocol (UDP) a una dirección de difusión o multidifusión, con la dirección de origen falsificada como dirección de la víctima. El puerto de destino de un ataque de fraggle es el puerto de eco 7. El propósito del atacante es sobrecargar un sistema con un alto volumen de tráfico, ya que cada host de la red responde a cada paquete de difusión o multidifusión que envía el atacante. La suplantación de la dirección de origen convierte al receptor de las múltiples respuestas en víctima del ataque de denegación de servicio ( DoS ). (Un ataque de denegación de servicio es un asalto a una red que desactiva uno o varios hosts en una red de forma que el host no puede realizar sus funciones correctamente.)

Se notifica a IDS cuando se recibe una solicitud de eco UDP para determinar si la dirección de destino es una dirección de difusión IP o multidifusión. Si la dirección de destino es una dirección de difusión o multidifusión, IDS señala el ataque.

Mensaje de redireccionamiento de ICMP

Un mensaje fuera de banda que está diseñado para informar a un host de una ruta más óptima a través de una red, pero que posiblemente se utiliza maliciosamente para ataques que redirigen el tráfico a un sistema específico. En este tipo de ataque, el hacker, haciéndose pasar por un router, envía un mensaje de redirección Internet Control Message Protocol (ICMP) a un host, que indica que todo el tráfico futuro debe dirigirse a un sistema específico como ruta más óptima para el destino. Puede configurar IDS para que le notifique cuando se produzcan estos mensajes de redirección ICMP o para ignorarlos.

Fragmento IP

Un datagrama de Internet Protocol (IP) que contiene sólo una parte de los datos de usuario de un datagrama de IP más grande. En un ataque, el fragmento de IP puede tener menos de 576 bytes de longitud, o tener un desplazamiento de menos de 256 bytes. Cuando los fragmentos IP son demasiado pequeños, la intención puede ser un intento malicioso de pasar a través de un cortafuegos, pero podría ser un caso normal de retransmisión de paquetes. IDS detecta fragmentos de IP que son sospechosos.

Paquete mal formado

Paquete que no se ajusta a los estándares TCP/IP para tamaño, destino o distintivos en la cabecera TCP. La intención puede ser colgarse o colgarse un sistema. IDS también comprueba los protocolos IP restringidos y las opciones en un ataque de paquete mal formado. La pila TCP/IP notifica a IDS de estos paquetes mal formados y normalmente los descarta.

Ataque sin formato de salida

Paquete de salida que utiliza un protocolo no estándar. Los paquetes de salida son un tipo de extrusión. Los protocolos IP restringidos de salida están cubiertos por ataques sin formato de salida. Los protocolos estándar incluyen TCP, UDP, ICMP, ICMPv6, Internet Group Management Protocol (IGMP) o Open Shortest Path First (OSPF).

Eco perpetuo

Un ataque de denegación de servicio en el puerto de eco de UDP 7. Si el puerto de origen y el puerto de destino se establecen en el puerto 7, la solicitud se repite de un lado a otro. Un atacante envía una solicitud de eco UDP a una dirección de difusión IP o multidifusión y proporciona una dirección de origen suplantada para que todos los destinos hagan eco de las respuestas. La dirección de origen suplantada, que no es la dirección del hacker, se convierte en víctima de una cantidad potencialmente grande de tráfico de red. Un eco perpetuo puede ser una intrusión o extrusión.

Ping-death

Ataque que implica el envío de un paquete ping que es mayor que el tamaño máximo de paquete IP de 65 536 bytes, lo que puede sobrecargar un sistema.

Opción de IP restringida

Una opción de IP, como Loose Source y Record Route (LSRR), que se utiliza para correlacionar la topología de una red y descubrir direcciones IP privadas. Un hacker podría intentar utilizar opciones de IP restringidas para pasar por cortafuegos. Puede utilizar la política IDS para restringir qué opciones IP puede contener un paquete de entrada o salida. Una opción de IP restringida puede ser una intrusión o extrusión.

Protocolo IP restringido

Protocolo no reconocido que se puede utilizar para establecer un ataque en una red. Un protocolo IP que no sea ICMPv6, ICMP, IGMP, TCP o UDP es un protocolo no reconocido. Un hacker puede programar directamente a un socket sin procesar sin pasar por la interfaz de programación TCP/IP. IDS recibe una notificación de la posible intrusión clasificándola como un ataque de protocolo restringido. Si no hay ninguna política de IDS correspondiente para los protocolos restringidos, la notificación no se registra. Los protocolos de salida no convencionales están cubiertos bajo ataques sin formato de salida.

Open Shortest Path First (OSPF) es un protocolo de pasarela interior que se utiliza para enviar información a los direccionadores sobre la vía de acceso más corta a cada nodo de una red. A diferencia de los otros protocolos bien conocidos sobre los que no se notifica a IDS, se notifica a IDS sobre los paquetes de entrada que contienen el protocolo OSPF con un ataque de protocolo restringido . Si las redes del sistema están utilizando OSPF, considere la posibilidad de excluir OSPF del rango de protocolos a restringir. OSPF puede aparecer en el diario de auditoría con bastante frecuencia si se incluye en el rango de protocolo restringido de la política. Si recibe una notificación de intrusión sobre el protocolo OSPF, revise la información para determinar si el sistema está utilizando OSPF con fines legítimos.

Smurf

Un ataque de denegación de servicio en el que una dirección de origen suplantada se inunda con respuestas de eco. Las respuestas se producen cuando muchas solicitudes de ping (eco ICMP) que utilizan la dirección de origen suplantada se envían a una o varias direcciones de difusión o multidifusión.

Desbordamientos SYN

Tipo de ataque de denegación de servicio en el que un atacante envía un gran número de solicitudes de conexión TCP a un sistema de destino, sin responder a las solicitudes de acuse de recibo del sistema de destino. El sistema de destino se sobrecarga y deniega el servicio a los usuarios legítimos.

Tormenta TCP/IP ACK

Un ataque de denegación de servicio en un servidor en el que un hacker o cracker inserta secretamente datos en una sesión de cliente/servidor en un intento de interrumpir la sesión. Si el hacker utiliza el número de secuencia correcto en los datos insertados, el servidor envía al cliente un paquete ACK que contiene un número de secuencia que no espera. A continuación, el cliente real intenta resincronizar con el servidor enviando un paquete ACK con el número de secuencia que espera. Este paquete ACK contiene un número de secuencia que el servidor no espera. A continuación, el servidor envía el último paquete ACK que ha enviado, y así sucesivamente. Los acuses de recibo (ACK) resultantes rebotan de un lado a otro y se produce una tormenta TCP ACK después de que el hacker haya confiscado varias sesiones de cliente/servidor.