Así es como te cogen en Internet

Iniciado por peib0l, 23 Agosto 2012, 04:39 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

peib0l

23 Agosto 2012, 04:39 AM
Bueno estaba retocando unas cosillas del proyecto de seguridad que tengo que terminar, y como muchos todavía no se enteran os dejo esta imagen que es un simple reporte de Snort (a la caza de gente mala en mi red).

Podéis observar que e marcado en rojo las zonas que muestra el reporte, en este caso es la respuesta de una petición web, pero si alguien intenta acceder a mi red y le cazo aquí podéis ver que salen todos los datos y que es real.

Con estos datos os cazan seguro.




PDT: las ip y mac destino son virtuales por lo que ni os molestéis en  intentar atacar...

PDT2: para aclarar dudas a la gente " es posible que sepan mi dirección ip y mac? "

adastra

#1
23 Agosto 2012, 09:44 AM
Hombre, esto permitirá "cazar" a un atacante muy descuidado/incompetente o simplemente muy novato, pero para que Snort te indique que hay un ataque en curso, primero tiene que detectarlo y normalmente una petición HTTP que da un código de respuesta 304 no es algo por lo que Snort deberia generar alarmas (a menos que se tenga una regla para ello y en tal caso, la cantidad de falsos positivos será infernal para un administrador). Luego, si el atacante ha utilizado siempre su propia IP para ejecutar un ataque, pues lo tiene jodido, pero muchos ya saben esto y la suelen enmascarar o hacer flooding con varios rangos de direcciones IP. Así que...Finalmente, con Snort como con cualquier IDS/IPS, es necesario que haya un tio que este analizando los logs y ese tio tiene que ser muy bueno para navegar entre cientos o miles de lineas con alarmas y detectar un ataque en curso (muchas veces "al vuelo"), te sorprenderia ver la cantidad de sistemas que hay en España y en America Latina que se creen "seguros" simplemente por tener un IDS/IPS instalado, pero luego no hay un administrador competente que se enteré de lo que realmente dicen los logs (muchas veces no saben ni donde tienen la punta del ....), en tales casos es incluso más peligroso, porque ese sentimiento de "seguridad" por tener una herramienta instalada que se encarga de la "seguridad" hace que en muchas ocasiones los administradores se relajen más de lo que deberian.

peib0l

#2
23 Agosto 2012, 16:35 PM
Todo lo que has comentado adastra es cierto, es solo un ejemplo para que los que empiezan vean que realmetne sus datos aparecen solo eso.

Slashx

#3
23 Agosto 2012, 21:40 PM
Interesante. Muy completa tu explicación adastra.

Salu2.
Vive Libre, ¡Vive GNU/Linux!

paila89

#4
4 Octubre 2012, 11:40 AM
Se podría decir que es el cazador cazado  :silbar:
Visita Mis Aportes
--> Emulador GBA: http://adf.ly/E9ydb

m0rf

#5
10 Octubre 2012, 20:54 PM
Cita de: peib0l en 23 Agosto 2012, 04:39 AM
Bueno estaba retocando unas cosillas del proyecto de seguridad que tengo que terminar, y como muchos todavía no se enteran os dejo esta imagen que es un simple reporte de Snort (a la caza de gente mala en mi red).

Podéis observar que e marcado en rojo las zonas que muestra el reporte, en este caso es la respuesta de una petición web, pero si alguien intenta acceder a mi red y le cazo aquí podéis ver que salen todos los datos y que es real.

Con estos datos os cazan seguro.




PDT: las ip y mac destino son virtuales por lo que ni os molestéis en  intentar atacar...

PDT2: para aclarar dudas a la gente " es posible que sepan mi dirección ip y mac? "

Y que intentaba hacer el atacante?
Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
Imprimir
Ir Arriba Páginas1
Acciones del Usuario