Quali sono gli approcci per rilevare l'attacco DoS in IDS / Firewall?

2

Primo approccio al rilevamento degli attacchi DoS : esistono tecniche per il rilevamento delle intrusioni e, naturalmente, attacco DoS, in cui per ogni pacchetto (o flusso) vengono calcolate alcune caratteristiche, quindi basate su un algoritmo di classificazione , è determinato se questo flusso è anomalo o meno. In questo modo il flusso specifico è contrassegnato come anomalo.

Secondo approccio : per l'attacco DoS, esiste questa tecnica in cui il traffico di rete viene aggregato in base ad alcune caratteristiche (ad esempio il flag SYN) e quindi utilizzando l'elaborazione del segnale o altre tecniche come la soglia semplice, scoprire se c'è qualche anomalia in questa fascia oraria o meno. Tuttavia, in questo modo non possiamo determinare quale flusso è anomalo. Esistono tecniche che elaborano ulteriormente tale fascia oraria, per trovare flussi anomali o se l'anomalia è DoS (magari implementando il primo approccio per questo specifico intervallo di tempo).

Il primo approccio non è implementato in Snort, come ho chiesto in precedenza qui . Non so se i prodotti commerciali utilizzano questo approccio o no.

Ho capito bene le tendenze? Perché il secondo approccio è interessante, se il primo approccio funziona (o è semplicemente perché il primo approccio non funziona?). Per limitare lo spazio di ricerca a un intervallo di tempo specifico? C'è qualche deferenza qui tra IDS / Firewall? Ci sono altri approcci?

    
posta Yasser 29.11.2012 - 10:03
fonte

2 risposte

6

Gli attacchi DoS sono semplicemente enormi inondazioni di dati inviati al tuo server. È possibile impostare qualcosa di semplice come una regola Nagios per rilevare un carico di traffico anomalo.

Ecco alcune regole di esempio per il monitoraggio delle statistiche di traffico di base:

  • "Se ricevo più di 80 Mbps di traffico in entrata, invia un avviso." : utile per velocità di traffico medie note che non variano molto.
  • "Se la velocità del traffico in arrivo supera i 60Mbps e la velocità media del traffico in entrata negli ultimi 10 minuti supera di oltre il 70% la velocità media del traffico in entrata nelle ultime 4 ore, invia un avviso." - Utile per situazioni in cui il traffico varia, ma è disponibile una ragionevole soglia di base.
  • "Se il numero di pacchetti SYN ricevuti negli ultimi 5 minuti supera il numero di pacchetti ACK ricevuti per un fattore pari o superiore a 10, invia un avviso." - Utile per rilevare le alluvioni SYN.

Se consideriamo invece le regole IDS, possiamo esaminare regole più specifiche sui singoli clienti:

  • "Se un solo IP ha contribuito a 100 MB o più di traffico negli ultimi 20 minuti, invia un avviso." - Utile per rilevare singoli tentativi DoS o possibili estrazioni di dati. Ovviamente questo non funzionerà molto bene se offri file di grandi dimensioni agli utenti.
  • "Se un solo IP ha inviato più di 40 MB di traffico UDP negli ultimi 10 minuti, invia un avviso." - Utile per rilevare le inondazioni UDP, poiché il traffico UDP non è previsto nella maggior parte dei server Web .

Ovviamente questi sono solo esempi.

La differenza tra un IDS e un firewall è principalmente che un IDS è passivo (vale a dire guarda il traffico e genera avvisi quando accadono cose brutte) e un firewall è attivo (cioè elimina pacchetti che corrispondono a una regola). Tuttavia, un firewall di solito ha regole molto più semplici, spesso basate su metadati come l'IP di origine, il tipo di protocollo, il numero di porta, il numero di sequenza TCP, ecc. Un IDS di solito si focalizza sul payload, piuttosto che sul pacchetto. Alcuni firewall includono funzionalità IDS e un IPS è essenzialmente una combinazione dei due che può manipolare il traffico in base a regole più complesse.

In termini di analisi del flusso e analisi dei pacchetti, entrambi gli stili di mitigazione funzionano, ma funzionano ancora meglio se combinati. È probabile che le tue regole di flusso catturino gli attacchi DDoS una volta che hanno iniziato a influenzare il tuo sistema, mentre le regole di analisi dei pacchetti probabilmente cattureranno gli attacchi DDoS nella loro infanzia. Il tasso di falsi positivi sull'analisi dei pacchetti è piuttosto alto, quindi usare entrambi come indicatore ha più senso.

    
risposta data 29.11.2012 - 10:57
fonte
4

Snort non è molto bravo a mantenere lo stato per un periodo di tempo più lungo di una sessione TCP. Snort è basato sulla firma. Quello che vuoi è più un ID basato su flusso / euristico. Eseguo Snort E l'ID Bro in qualche modo sconosciuto e sottovalutato:

link

Questo fornisce MOLTA copertura e visibilità migliori nella tua rete rispetto a Snort da solo.

link

link

Al momento li sto eseguendo entrambi in Security Onion ma un giorno potrei distribuire i miei bro / snort host dedicati una volta che diventerò un po 'più familiare con entrambi. Sono appena iniziato con BNPL ma ho grandi aspettative per il tipo di cose che sarò in grado di rilevare con esso.

    
risposta data 06.05.2013 - 03:16
fonte

Leggi altre domande sui tag