Problème de sécurité et catalogue de classes
Le tableau ci-dessous répertorie certaines des abréviations importantes avec leur mot/expression entièrement développé utilisé dans ce document
| Paramètre | Description |
|---|---|
| IP | Adresse de protocole Internet IP |
| Src | Source |
| Dst | Destination |
| P2P | Peer to Peer |
| ToS | Type de service |
| DoS | Déni de service |
| TCP: U-A-P-R-S-F | TCP: Urg – Ack – Psh – Rst – Syn – Fin |
Le tableau ci-dessous répertorie l'ensemble des classes utilisées pour classer les problèmes avec une brève description
| Class Name | Description |
|---|---|
| Bad Src – Dst | L'IP Src ou l'IP Dst du flux est suspect |
| Suspect Flows | Certains attributs autres que l’IP Src et l’IP Dst du flux sont suspects |
| DoS | Attaque par déni de service DoS |
Le tableau ci-dessous répertorie l'ensemble des problèmes détectés, leur classification suivie d'une brève description
Nom du problème | La description |
|---|---|
Invalid Src-Dst Flows | IP Src ou Dst non valide quel que soit le périmètre de l'entreprise, par exemple, les adresses IP en boucle ou les adresses IP locales IANA dans Src ou Dst IP |
Non Unicast Source Flows | IP Src est Multicast ou Broadcast ou IP réseau, c'est-à-dire pas Unicast |
Excess Multicast Flows | Le trafic de multidiffusion dépasse le seuil pour une IP Src donnée |
Excess Broadcast Flows | Le trafic de diffusion dépasse le seuil pour une IP Src donnée |
Excess Networkcast Flows | Le trafic IP du réseau dépasse le seuil pour une IP Src donnée |
Malformed IP Packets | Flux avec BytePerPacket inférieur ou égal au minimum de 20 octets (octets) |
Invalid ToS Flows | Flux avec des valeurs ToS invalides |
Malformed TCP Packets | Flux TCP avec BytePerPacket inférieur au minimum de 40 octets (octets) |
Excess Empty TCP Packets | TCP s'écoule sans aucune charge utile, c'est-à-dire que BytePerPacket a exactement 40 octets (octets) avec la valeur TCP FLAGS IN (25—27, 29—31). Toutes les autres valeurs TCP FLAGS sont incluses dans d'autres événements basés sur TCP indiqués ci-dessous |
Excess Short TCP Handshake Packets | Flux TCP avec charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et valeur des indicateurs TCP IN (19 / ASF, 22 / ARS, 23 / ARSF), indiquant les sessions TCP ouvertes et fermées, dépasse le seuil |
TCP Null Violations | Flux TCP avec une valeur TCP Flags égale 0 / Null |
TCP Syn Violations | Flux TCP avec une valeur TCP Flags égale 2 / Syn |
TCP Syn_Fin Violations | Flux TCP avec valeur de TCP FLAGS IN (3 / SF, 7 / RSF), désignant les flux TCP Syn_Fin —ou— Syn_Rst_Fin, mais sans FLAGS Urg / Ack / Psh. |
Excess Short TCP Syn_Ack Packets | Flux TCP avec charge utile nominale, c'est-à-dire que BytePerPacket entre 40 et 44 octets (octets) et la valeur des indicateurs TCP est égale à 18 / SA dépasse le seuil |
Excess Short TCP Syn_Rst Packets | Flux TCP avec charge utile nominale, c'est-à-dire que BytePerPacket entre 40 et 44 octets (octets) et la valeur des indicateurs TCP est égale à 6 / RS, ce qui indique les flux TCP Syn_Rst, mais sans indicateurs Urg / Ack / Psh, dépasse le seuil |
TCP Rst Violations | Flux TCP avec une valeur TCP Flags égale 4 / R |
Excess Short TCP Rst_Ack Packets | Flux TCP avec charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et valeur des indicateurs TCP IN (20 / AR, 21 / ARF), indiquant les flux TCP Rst_Ack, dépassant le seuil |
TCP Fin Violations | Flux TCP avec valeur de TCP FLAGS IN (1 / F, 5 / RF) |
Excess Short TCP Fin_Ack Packets | Flux TCP avec charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et valeur des indicateurs TCP égale à 17 / FA dépasse le seuil |
Excess Short TCP Psh_Ack_No-Syn_Fin Packets | Flux TCP avec charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et valeur des indicateurs TCP IN (24 / PA, 28 / APR), indiquant TCP Psh_Ack mais sans Syn / Fin, dépasse le seuil |
Excess Short TCP Psh_No-Ack Packets | Flux TCP avec charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et valeur des indicateurs TCP IN (8 / P, 42 / UPS, 43 / UPSF, 44 / UPR, 45 / UPRF, 46 / UPRS, 47 / UPRSF ), indiquant TCP Psh mais sans Ack, dépasse le seuil |
Excess Short TCP Ack Packets | TCP Flows avec une charge utile nominale, c.-à-d., BytePerPacket entre 40 et 44 octets (octets) et la valeur TCP Flags est égale à 16 / A, indiquant TCP Ack, dépasse le seuil |
TCP Xmas Violations | TCP Flows avec une valeur TCP Flags égale 41 / UPF |
TCP Urg Violations | TCP Flows avec TCP Flags valeur IN (32-40, 42-63), dénotant toutes les combinaisons d’Urg FLAGS sauf la combinaison XMAS |
Malformed ICMP Packets | Flux ICMP avec BytePerPacket inférieur au minimum de 28 octets (octets) |
Excess ICMP Requests | Le flux de demandes ICMP avec la valeur de port Dst IN (2048 / demande d'écho, 3328 / demande d'horodatage, 3840 / demande d'information, 4352 / demande de masque d'adresse) dépasse le seuil |
Excess ICMP Responses | Le flux de réponse ICMP avec la valeur du port Dst IN (0 / réponse d'écho, 3584 / réponse d'horodatage, 4096 / réponse d'information, 4608 / réponse de masque d'adresse) dépasse le seuil |
ICMP Network Unreachables | Flux ICMP inaccessibles sur le réseau avec valeur de port DST IN (768 / Réseau inaccessible, 774 / Réseau inconnu, 777 / Réseau administrativement interdit, 779 / Réseau inaccessible pour TOS) |
ICMP Host Unreachables | Flux ICMP inaccessibles avec la valeur du port DST IN (769 / hôte inaccessible, 773 / échec de la route source, 775 / hôte inconnu, 776 / hôte source isolé (obsolète), 778 / hôte administrativement interdit, 780 / hôte inaccessible pour TOS, 781 / Communication administrativement interdite par filtrage) |
ICMP Port Unreachables | Flux ICMP inaccessibles avec une valeur de port Dst égale à 771 / Port inaccessible |
ICMP Unreachables for ToS | Flux ICMP ToS inaccessibles avec valeur de port DST IN (779 / Réseau inaccessible pour TOS, 780 / Hôte inaccessible pour TOS) |
ICMP Redirects | Flux de redirection ICMP avec valeur de port Dst IN (1280 / Redirection pour le réseau, 1281 / Redirection pour l'hôte, 1282 / Redirection pour ToS et réseau, 1283 / Redirection pour ToS et hôte) |
ICMP Time Exceeded Flows | Flux ICMP dépassé avec le port DST IN (2816 / Time-to-live est égal à 0 Pendant le transit, 2817 / Time-to-live est égal à 0 pendant le réassemblage). Indique une tentative de Traceroute ou un échec de réassemblage du fragment de datagramme. |
ICMP Parameter Problem Flows | Le problème de paramètre ICMP circule avec le port Dst IN (3072 / En-tête IP incorrect, 3073 / Option requise manquante, 3074 / Longueur incorrecte). Indique généralement une erreur d'implémentation locale ou distante, c'est-à-dire des datagrammes invalides. |
ICMP Trace Route Flows | Flux Traceroute d’ICMP avec Dst Port est égal à 7680 / Trace Route. Indique une tentative de traceroute. |
ICMP Datagram Conversion Error Flows | Flux d’ICMP Datagram Conversion Error avec Dst Port value est égal à 7936 / Datagram Conversion Error ie., Pour les datagrammes valides. |
Malformed UDP Packets | Flux UDP avec BytePerPacket inférieur au minimum de 28 octets (octets) |
Excess Empty UDP Packets | Flux UDP sans aucune charge utile, c'est-à-dire que BytePerPacket exactement 28 octets (octets) |
Excess Short UDP Packets | Flux UDP avec charge utile nominale, c.-à-d. BytePerPacket entre 29 et 32 octets (octets), dépasse le seuil |
Excess UDP Echo Requests | La demande d'écho UDP au port Dst 7 (écho) dépasse le seuil |
Excess UDP Echo Responses | La réponse d'écho UDP du port Src 7 (écho) dépasse le seuil |
Land Attack Flows | Flux avec les mêmes IP Src et IP Dst. Force la machine cible à se répondre en permanence |
ICMP Request Broadcasts | Flux de demande ICMP avec valeur de port Dst IN (2048 / demande d'écho, 3328 / demande d'horodatage, 3840 / demande d'information, 4352 / demande de masque d'adresse) envoyée à une adresse IP de diffusion / multidiffusion. Indique une éventuelle attaque d'amplification sur l'IP Src. |
ICMP Protocol Unreachables | Flux ICMP inaccessibles avec une valeur de port Dst égale à (770 / Protocol Unreachable). Peut être utilisé pour effectuer un déni de service sur les sessions TCP actives, provoquant la coupure de la connexion TCP. |
ICMP Source Quench Flows | Flux de quench source ICMP avec une valeur de port Dst égale à (1024 / Quench source). Pas daté. Mais peut être utilisé pour tenter un déni de service en limitant la bande passante d'un routeur ou d'un hôte. |
Snork Attack Flows | Flux UDP avec port Src IN (7, 19, 135) et port Dst IN (135). Indique une attaque par déni de service contre le service RPC de Windows NT |
UDP Echo Request Broadcasts | Demande d'écho UDP au port Dst 7 (écho) envoyée à une adresse IP de diffusion / multidiffusion. Indique une éventuelle attaque d'amplification sur l'IP Src. |
UDP Echo-Chargen Broadcasts | Flux UDP, du port Src 7 / Echo au port Dst 19 / Chargen, envoyés à une adresse IP de diffusion / multidiffusion. Indique une éventuelle attaque d'amplification sur l'IP Src. |
UDP Chargen-Echo Broadcasts | Flux UDP, du port Src 19 / Chargen au port Dst 7 / Echo, envoyés à une adresse IP de diffusion / multidiffusion. Indique une éventuelle attaque d'amplification sur l'IP Src. |
Excess UDP Echo-Chargen Flows | Les flux UDP, du port Src 7 / Echo au port Dst 19 / Chargen, envoyés à toute adresse IP unicast dépassent le seuil. Indique une éventuelle attaque d'amplification sur l'IP Src. |
Excess UDP Chargen-Echo Flows | Les flux UDP, du port Src 19 / Chargen au port Dst 7 / Echo, envoyés à toute IP unicast dépassent le seuil. Indique une éventuelle attaque d'amplification sur l'IP Src. |