Skocz do zawartości

Ataki DoS DDos w raporcie cisco rvs 4000


ewenement

Rekomendowane odpowiedzi

Witam
Dawno nie zaglądałem na router a teraz jak wszedłem na niego to widzę w raportach
1 DoS / DDoS 6732
2 Buffer Overflow 821
3 Other 558
4 Scan 80
 
w raporcie szczegółówym tak to wygląda
http://wklej.org/id/3210358/
 
Czy mam się tym martwić?
Co to za ataki? Czy są niebezpieczne?
Jak się dodatkowo przed nimi chronić?
Może jakiś UTM?
Co polecacie ? Barracuda? Stormshield? Fortigate? Czy coś innego? Co i dlaczego?
Jakie inne sposoby?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Poproszę o zestaw raportów FRST oraz GMER.

 

Dodatkowo zastosuj się do zabezpieczeń Biuletynu bezpieczeństw Microsoft, bo z raportu routera wynika, że cześć ataku jest przeprowadzana z pomocą luki w menedżerze kolorów. 

Reszty nie zweryfikuje, bo nie mam, aż tak dużej wiedzy w zakresie ataków, co nie tyczy się infekcji systemów i to bardziej temat do działu Sieci.

Odnośnik do komentarza
  • 2 tygodnie później...
  • 1 miesiąc temu...

Spokojnie, to nie koniecznie są ataki. Większość to prawdodpobnie false positivy.

Sam raport jest z dosyć długiego okresu czasu.

Np. Przeanalizujmy pierwszy alarm odnośnie Microsoft Color Management Module Buffer Overflow.  Alert ten pojawia się często gdy moduł IPS'a w Twoim routerze blokuje obrazki na różnych stronach.

Pierwszy alarm odwołuje się do 217.74.66.210. Szybki nslookup i wiemy, że to strona RMF. :)

Stąd wnioskuje, że to false positive.

I w ten sposób możesz sobie analizować reszte alertów.

Apy stwierdzić  czy coś jest potencjalnym atakiem, trzeba po prostu to sprawdzić.

Czy użytkownicy zgłaszali w tym czasie jakieś problemy? Czy antywirusy sypały jakimiś alarmami? Jeżeli tak, możesz spróbować skolerować czasy z AV z czasami z IPS'a Widziałeś coś niepokojącego w innych miejscach w sieci? itd.

Odnośnie polecanych rozwiązań to wszystko zalezy do czego je potrzebujesz. Jaki zakres ochrony, jak dużą masz sieć, jaki budżet, jak z Twoją wiedza na temat tych rozwiązań, czy jesteś przekonany, że wgl potrzebujesz UTM'a? To temat na zupełnie inną rozmowę.

 

Mam nadzieje, że choć trochę rozjaśniłem.

 

Pozdrawiam.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...