È possibile (e come) raccontare da un dump di rete se c'è un attacco di overflow del buffer, un attacco DoS o brute force? Un DDoS sarebbe più ovvio da identificare, ma quegli attacchi sopra menzionati sembrerebbero un po 'più simili alle normali attività.
Ci scusiamo per la mia domanda per principianti, la tua risposta sarebbe di grande aiuto. Qualsiasi informazione su come identificare questi attacchi dalle discariche di rete sarebbe estremamente apprezzata.
Dipenderà da un numero di fattori, come ad esempio quale protocollo è stato utilizzato.
Supponiamo per la risposta che il protocollo in questione sia HTTP non crittografato.
Questo sarebbe il più difficile dei 3 da identificare, in quanto potrebbe sembrare una grande richiesta. È possibile che tu possa identificarlo da alcuni modelli comuni che le persone utilizzano in overflow del buffer (ad esempio una serie di caratteri "A") ma che non è un requisito dell'attacco, quindi in molti casi potrebbe essere difficile da rilevare, a seconda di come sembra una richiesta standard per l'applicazione
Questo dovrebbe essere relativamente facile da individuare da un dump di rete. Probabilmente vedresti un gran numero di richieste al servizio di pacchetti SYN (per un attacco SYN standard) o forse una richiesta specifica dell'applicazione (come una ricerca) per un'applicazione DoS, sarebbe probabilmente visibile come il volume di traffico verso il servizio salirà rapidamente.
Nella maggior parte dei casi questo sarebbe abbastanza facile da individuare da un dump di rete visto che si vedrebbe un gran numero di accessi non riusciti all'applicazione provenienti da un indirizzo IP o da un intervallo (a seconda che l'attacco fosse distribuito o non). Questo probabilmente si distingue dai normali schemi di traffico, quindi è relativamente facile da individuare.
Leggi altre domande sui tag network denial-of-service ddos