La siguiente tabla nombra algunas de las abreviaturas más importantes usadas en este documento con su respectiva palabra/frase
| Configuración | Descripción |
|---|---|
| IP | Dirección del protocolo de Internet |
| Src | Origen |
| Dst | Destino |
| P2P | Entre pares |
| ToS | Tipo de servicio |
| DoS | Denegación del servicio |
| TCP: U-A-P-R-S-F | TCP: Urg – Ack – Psh – Rst – Syn – Fin |
La tabla a continuación nombra el conjunto de clases usadas para clasificar los problemas con una breve descripción
| Nombre de la clase | Descripción |
|---|---|
| Src - Dst malo | La IP Src o la IP Dst del flujo es sospechosa |
| Flujos sospechosos | Algún atributo diferente a la IP Src o la IP Dst del flujo es sospechoso |
| DoS | Ataque de denegación del servicio |
La tabla a continuación enumera el conjunto de problemas detectados, su clasificación seguida por una breve descripción
|
Nombre del problema |
Descripción |
|---|---|
|
Flujos inválidos de Src-Dst |
IP Src o Dst inválida independientemente del perímetro de la empresa, por ejemplo, IP Loopback o IP Local IANA, ya sea en Src o Dst |
|
Flujos de origen no Unicast |
La IP Src es una IP de multicast o broadcast o red. Es decir, no es de unicast |
|
Exceso de flujos de multicast |
El tráfico de multicast excede el umbral para cualquier IP Src dada |
|
Exceso de flujos de broadcast |
El tráfico de broadcast excede el umbral para cualquier IP Src dada |
|
Exceso de flujos de broadcast de red |
El tráfico de broadcast excede el umbral para cualquier IP Src dada |
|
Paquetes de IP malformados |
Flujos con byte por paquete inferior o igual al mínimo de 20 octetos (bytes) |
|
Flujos de ToS Inválidos |
Flujos con valores ToS inválidos |
|
Paquetes de TCP malformados |
Flujos de TCP con byte por paquete inferior o igual al mínimo de 40 octetos (bytes) |
|
Exceso de paquetes vacíos de TCP |
Flujos de TCP sin carga útil. Es decir, byte por paquete exactamente de 40 octetos (bytes) con un valor de indicador de TCP IN (25-27, 29-31). Los demás valores de indicador de TCP se incluyen en otros eventos basados en TCP a continuación |
|
Exceso de paquetes cortos de conexión TCP |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (19/ASF, 22/ARS, 23/ARSF), denotando sesiones de TCP abiertas y cerradas que exceden el umbral |
|
Infracciones de TCP Null |
Flujos de TCP con un valor de indicador de TCP equivalente a 0/Null |
|
Infracciones de TCP Syn |
Flujos de TCP con un valor de indicador de TCP equivalente a 2/Syn |
|
Infracciones de TCP Syn_Fin |
Flujos de TCP con un valor de indicador de TCP IN (3/SF, 7/RSF), denotando flujos de TCP Syn_Fin - o Syn_Rst_Fin, pero sin indicadores Urg/Ack/ Psh. |
|
Exceso de paquetes cortos de TCP Syn_Ack |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 18/SA que exceden el umbral |
|
Exceso de paquetes cortos de TCP Syn_Rst |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 6/RS, denotando flujos de TCP Syn_Rst, pero sin indicadores Urg/Ack/ Psh que exceden el umbral |
|
Infracciones de TCP Rst |
Flujos de TCP con un valor de indicador de TCP equivalente a 4/R |
|
Exceso de paquetes cortos de TCP Rst_Ack |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (20/AR, 21/ARF), denotando flujos de TCP Rst_Ack que exceden el umbral |
|
Infracciones de TCP Fin |
Flujos de TCP con un valor de indicador de TCP IN (1/F, 5/RF) |
|
Exceso de paquetes cortos de TCP Fin_Ack |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 17/FA que exceden el umbral
|
|
Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (24/PA, 28/APR), denotando TCP Psh_Ack pero sin Syn/Fin
|
|
Exceso de paquetes cortos de TCP Psh_Ack_No-Syn_Fin |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF), denotando TCP Psh pero sin Ack que exceden el umbral |
|
Exceso de paquetes cortos de TCP Ack |
Flujos de TCP con carga útil nominal. Es decir, byte por paquete entre 40 y 44 octetos (bytes) y con un valor de indicador de TCP equivalente a 16/A, denotando TCP Ack que exceden el umbral |
|
Infracciones de TCP Xmas |
Flujos de TCP con un valor de indicador de TCP equivalente a 41/UPF |
|
Infracciones de TCP Urg |
Flujos de TCP con un valor de indicador de TCP IN (32-40, 42-63), denotando todas las combinaciones del indicador Urg exceptuando la combinación de XMAS |
|
Paquetes de ICMP malformados |
Flujos de ICMP con byte por paquete inferior al mínimo de 28 octetos (bytes)
|
|
Exceso de solicitudes de ICMP |
Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) que exceden el umbral |
|
Exceso de respuestas de ICMP |
Flujos de respuesta de ICMP con un valor de puerto Dst IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) que exceden el umbral |
|
Red inalcanzable para ICMP |
Flujos de red inalcanzable para ICMP con un valor de puerto Dst IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS) |
|
Host inalcanzable para ICMP |
Flujos de host inalcanzable para ICMP con un valor de puerto Dst IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering) |
|
Puerto inalcanzable para ICMP |
Flujos de puerto inalcanzable para ICMP con un valor de puerto Dst igual a 771/Port Unreachable |
|
ToS inalcanzable para ICMP |
Flujos de ToS inalcanzable para ICMP con un valor de puerto Dst IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS) |
|
Redireccionamiento del ICMP |
Flujos de redireccionamiento del ICMP con un valor de puerto Dst IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host) |
|
Flujos de tiempo excedido del ICMP |
Flujos de tiempo excedidos del ICMP con un valor de puerto Dst IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly). Indica un intento de traceroute o un fallo al resolver la fragmentación de datagrama. |
|
Flujos de problema de parámetro del ICMP |
Flujos de problema de parámetro del ICMP con un valor de puerto Dst IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length). Normalmente indica algún error local o remoto de implementación, es decir, datagramas inválidos. |
|
Flujos de traceroute del ICMP |
Flujos de traceroute del ICMP con un valor de puerto Dst igual a 7680/Trace Route. Indica un intento de traceroute. |
|
Flujos de error de conversión de datagrama del ICMP |
Flujos de error de conversión de datagrama del ICMP con un valor de puerto Dst equivalente a 7936/Datagram Conversion Error, es decir, para datagramas válidos. |
|
Paquetes de UDP malformados |
Flujos de UPD con byte por paquete inferior al mínimo de 28 octetos (bytes) |
|
Exceso de paquetes vacíos de UDP |
Flujos de UDP sin carga útil. Es decir, byte por paquete exactamente de 28 octetos (bytes) |
|
Exceso de paquetes cortos de UDP |
Flujos de UPD con carga útil nominal. Es decir, byte por paquete entre 29 y 32 octetos (bytes) que exceden el umbral |
|
Exceso de solicitudes de Echo de UDP |
Solicitud de Echo de UDP al puerto Dst 7 (Echo) que excede el umbral |
|
Exceso de respuestas de Echo de UDP |
Respuesta de Echo de UDP al puerto Src 7 (Echo) que excede el umbral |
|
Flujos de ataque terrestre |
Flujos con la misma IP Src e IP Dst. Hace que el equipo receptor se conteste a sí mismo continuamente. |
|
Difusiones de la solicitud de ICMP |
Flujos de solicitud de ICMP con un valor de puerto Dst IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request) enviados a la IP de broadcast/multicast. Indica posible ataque de amplificación contra la IP Src. |
|
Protocolo inalcanzable para ICMP |
Flujos de protocolo inalcanzable para ICMP con un valor de puerto de Dst igual a (770/Protocol Unreachable). Se puede utilizar para realizar una denegación del servicio en sesiones activas del TCP, causando la caída de la conexión TCP. |
|
Flujos de disminución de velocidad en origen de ICMP |
Flujos de disminución de velocidad en origen de ICMP con un valor de puerto Dst igual a (1024/Source Quench). Obsoleto. Pero puede ser utilizado para intentar una denegación del servicio limitando el ancho de banda de un router o de un host. |
|
Flujos de ataque snork |
Flujos de UDP con un valor de puerto Src IN (7, 19, 135) y puerto Dst IN (135). Indica un ataque de denegación del servicio contra Windows NT RPC |
|
Difusiones de solicitudes de Echo de UDP |
Solicitudes de Echo de UDP al puerto Dst 7 (Echo) enviadas a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src. |
|
Difusiones Echo-Chargen de UDP |
Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la Src. |
|
Difusiones Chargen-Echo de UDP |
Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a una IP de broadcast/multicast. Indica un posible ataque de amplificación contra la IP Src. |
|
Exceso de difusiones Echo- Chargen de UPD |
Flujos de UDP desde el puerto Src 7/Echo al puerto Dst 19/Chargen, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src. |
|
Exceso de difusiones Chargen-Echo UPD |
Flujos de UDP desde el puerto Src 19/Chargen al puerto Dst 7/Echo, enviados a cualquier IP de unicast que exceden el umbral. Indica un posible ataque de amplificación contra la IP Src. |
