Análisis de tráfico de red
Patrones normales Vs. Ataques
Jeimy J. Cano, Ph.D
Universidad de los Andes
[email protected]
Agenda
• Introducción
• Conceptos básicos de TCP/IP
– Paquete IP
– Paquete TCP
– Breves ideas sobre fragmentación
• Introducción a TCPDump/Windump
– Sniffers
– Convenciones para analizar resultados
• Patrones
– Normales
– Anormales - Ataques
JCM-2001 All rights
2
Agenda
• Firmas y filtros
– Conceptos
– IDS - Intrusion Detection Systems
• Limitaciones de las firmas
– Falsos Positivos
– Falsos Negativos
• Ejercicios de análisis
• Reflexiones
• Referencias
JCM-2001 All rights
3
Introducción
• La evolución de los ataques a las infraestructuras
computacionales cada vez más son más sofisticados.
• Se requiere un entendimiento más detallado de los ataques
y sus consecuencias.
• Los analistas de seguridad no tienen tiempo para
desarrollar habilidades sobre análisis de tráfico de red.
Sistemas IDS
• La ventana de exposición se hace cada vez mayor:
Descubrimiento de la falla Vs. Generación del parche.
• Desarrollo de estrategias para análisis de registros de log.
• Entrenamiento especializado que detalle las características
técnicas de los protocolos de comunicaciones,
particularmente TCP/IP.
JCM-2001 All rights
4
Conceptos básicos de TCP/IP
Servicios de Red
Servicios de aplicación
Conceptos básicos de TCP/IP
Aplicación
Presentación
Aplicación
Presentación
Sesión
APLICACIÓN
DE
RED
Transporte
TCP UDP
Transporte
Red
IP ICMP
Red
Enlace de datos
ARP RARP
Enlace de datos
JCM-2001 All rights
Físico
Sesión
Físico
6
Conceptos básicos de TCP/IP
Protocolo IP
Version
Tamaño
Cabecera
Identificación
Tiempo de vida
Precedencia
Tipo de Servicio
Banderas
Tamaño del
Datagrama
Desplazamiento
del segmento
Protocolo
Suma de control
de la cabecera
Dirección ORIGEN
Dirección DESTINO
OPCIONES
Ruta de origen estricta
Marcas de tiempo
Seguridad
Rellenos
DATOS
JCM-2001 All rights
7
Conceptos básicos de TCP/IP
Protocolo IP
TRÁFICO TOMADO CON HOPPA ANALYZER
--- Packet received: 22:26:43.16 --- Length: 0062 --- Assigned number: 00000 --MAC destination: 01:00:5E:00:00:02
MAC source: 00:B0:C2:F5:4B:E4
Frametype: Ethernet II, Protocol field: 0800h
Protocol: IP
IP 4 bits IP version:
4h IP 4 bits Header length:
IP 8 bits Type of service:
C0h IP 16 bits Total length:
IP 16 bits Identification:
0000h IP 3 bits Flags:
IP 13 bits Fragment Offset:
0000h IP 8 bits TTL:
IP 8 bits Protocol type:
UDP = 11h IP 16 bits Header Checksum:
IP source address: XX.YY.17.253
IP destination address: ZZZ.0.0.2
5h
0048d
0h
02h
2801h
HEX data:
ASCII data:
07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ......_......d..cisc
6F 00 00 00 9D FD 11 01
o.......
--------------------------------------------------------------------------------
JCM-2001 All rights
8
Conceptos básicos de TCP/IP
Protocolo TCP
Puerto ORIGEN
Puerto DESTINO
Número de Secuencia
Número de confirmación
Tamaño Cabecera
Reservado
Banderas
Suma de control
Ventana
Puntero Urgente
OPCIONES
DATOS
JCM-2001 All rights
9
Conceptos básicos de TCP/IP
Protocolo TCP
TRÁFICO TOMADO CON WINDUMP
attacker.23616 > target.53: S 4076745461:4076745461(0) win 8760 <mss 1460>
target.53 > attacker.23616: S 2085251122:2085251122(0) ack 4076745462 win 1024 <mss 1460> (DF)
attacker.23616 > target.53: . ack 1 win 8760 (DF)
attacker.23616:
target.53:
S:
4076745461:4076745461
(0):
win 8760:
mss 1460:
ack 4076745462
. ack 1
(DF)
JCM-2001 All rights
Puerto ORIGEN
Puerto DESTINO
Bandera de SYN
Número de secuencia. Se utiliza para ordenar los datos recibidos.
Número de bytes enviados en el paquete.
Ventana. Buffer que se esta recibiendo en bytes de attacker
Maximun Segment Size (Campo OPCIONES) Indicar el tamaño del mayor
trozo de datos que se puede recibir (y reensamblar) en un flujo.
Informa que la red física en la que esta attacker no debería recibir más de
1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado
TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet.
Acusa recibo de la conexión. 4076745461+ 1= 4076745462
ACK final e independiente a target.
No fragmentado.
10
Conceptos básicos de TCP/IP
Fragmentación
• Cuándo?
– Se produce cuando un datagrama IP que viaja por una red
tiene que atravesar una red con una unidad de transmisión
máxima (MTU) que es menor que el tamaño del datagrama.
– EJEMPLO:
• MTU de un datagrama IP para Ethernet es 1500 bytes
• Si un datagrama es mayor de 1500 bytes y necesita atravesar una red
Ethernet, necesita ser framentado por medio de un enrutador que se
dirija a la red Ethernet.
• Qué información se necesita para reconstruir el
paquete?
•
•
•
•
No. identificación del fragmento.
Información del lugar dentro del paquete inicial
Información sobre longitud de datos transportados por el fragmento.
Indicador sobre si existen mas fragmentos.
JCM-2001 All rights
11
Conceptos básicos de TCP/IP
Fragmentación
TRÁFICO TOMADO CON WINDUMP
attack.org > mynet.com: icmp: echo request (frag 21233:1480@+)
attack.org > mynet.com: (frag 21233:[email protected]+)
attack.org > mynet.com: (frag 21233:[email protected])
icmp: echo request
Petición de echo request a mynet.com
(frag 21233:1480@+)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del
fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de
datos (0 pues es el primer fragmento, más el signo +, que indica la
presencia de más fragmentos.
(frag 21233:[email protected]+)
Note que se omite la identificación del paquete. El indicador sigue
encendido en el paquete IP, pero no se presenta en windump.
El signo + advierte que vienen más fragmentos.
(frag 21233:[email protected])
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del
fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de
datos:2960. No aparece signo +, lo que sugiere que no hay más fragmentos.
JCM-2001 All rights
12
Introducción a TCPDump/Windump
Introducción a TCPDump/Windump
Sniffers - Escuchas electrónicas
• Definición
– Sniffer es un método de ataque pasivo por medio del cual un
equipo captura información que circula de un medio físico,
independientemente de si ésta se encuentra destinada a su
MAC. Tomado de: www.hackersinc.com/hacking/sniffers.html
• Objetivos
 Observar los patrones del tráfico de la red.
 Identificar las direcciones IP origen y destino de los paquetes IP.
 Determinar relaciones entre máquinas y servicios.
 Capturar información crítica que permita el acceso a otros recursos de
la red.
 Capturar información confidencial que circula a través de la red.
 Obtener información sin generar rastros.
JCM-2001 All rights
14
Introducción a TCPDump/Windump
Windump
• Consideraciones
– Sniffer para Windows, creado en el Instituto Politécnico de
Torino en Italia. Http://netgroup-serv.polito.it/windump
– Captura:
• UDP, ICMP, ARP, TCP
• http, snmp, nntp, pop, ftp, imap (internet message access protocol)
– Requisitos de instalación
• Packet Driver - Según si es NT o 2000
• Ejecutable: windump.exe
– Sintáxis
• windump -n -S -v
– -n Mostar la dirección IP en lugar del nombre del equipo
– -S Mostrar número de secuencia
– -v Verbose
• windump host <nombre_equipo>
– Sólo revisa el tráfico desde y hacia el host descrito.
JCM-2001 All rights
15
Introducción a TCPDump/Windump
Windump
• Convenciones
13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F
27982697:27982697(0) ack 1496615818 win 8553 (DF)
Estampilla de tiempo: 13:50:13.205539
IP y Puerto fuente: ATTACK01-093695.1363
IP y puerto destino: gserv.zdnet.com.80
F 27982697:27982697(0) ack 1496615818
F
Flag de fin de transmisión
27982697:27982697(0)
ack 1496615818:
Número de secuencia.(0) No datos
Acuse en sincronización esperado
win 8553: Tamaño de la ventana.
Don’t Fragment Bit Presente?: (DF)
JCM-2001 All rights
16
Patrones de tráfico de Red
Patrones de tráfico
Normales
• FTP
1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0)
2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0)
ack 1884312223
3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1
4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1
5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24
• Conexión FTP
– Sincronización de tres sentidos - (1,2,3)
– Transmisión de mensaje de bienvenida - (4, 5)
JCM-2001 All rights
18
Patrones de tráfico
Normales
• DNS
- Solicitud de resolución de la dirección www.sans.org
1. host.my.com.1716 > dns.my.com.53: 1+ (35)
2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF)
3. h.root-servers.net.53>dns.my.com.53: 12420 - 0/3/3 (153) (DF)
4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF)
5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172)
6. dns.my.com.53>host.my.com.1716: 1* 1/3/3
Tráfico tomado de: Northcutt y Novak (2001) Pág. 100.
1. Host.my.com efectúa petición para resolver la dirección www.sans.org. UDP de 35 bytes
2. Dns.my.com intenta conexión por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No.
petición 12420
3. h.root-servers.net no obtiene respuesta a la petición (0/3/3) 0 registros de respuesta, tres registros autorizados y
otros tres adiconales.
4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. petición:12421. Solicita
recursión (signo +)
5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada.
6. dns.my.com responde a host.my.com, con la dirección IP de www.sans.org (no se ve aqui) mas los tres registros
autorizados y los adicionales.
JCM-2001 All rights
19
Patrones de tráfico
Normales
• PING - ICMP
13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply
13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request
13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply
• Máquina arriba
– Ejecución del comando ping otro.victim.net
JCM-2001 All rights
20
Patrones de tráfico
Normales
• TELNET
1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 <mss 1460> (DF)
2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 <mss
1460> (DF)
3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF)
4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF)
5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024
6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024
1, 2, 3 Sincronización de tres sentidos
4. La máquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se
espera.
5. La máquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos.
6. Envío de la máquina victim.com.23 envía 9 bytes adicionales y se efectúa un ACK 28 ya que el byte 28 es el
que se espera.
JCM-2001 All rights
21
Patrones de tráfico
Normales
• ARP
13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net
13:50:17.406848 arp who-has LK01-112322 tell info.victim.net
13:50:17.410944 arp who-has COLASRV tell xxx.victim.net
13:50:17.436873 arp who-has LK01-112297 tell LK01-112322
13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6
13:50:17.547320 arp who-has INFOGER tell info.victim.net
13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202
13:50:18.017876 arp who-has LP01-10213 tell info.victim.net
• Preguntas de reconocimiento de máquinas en una red
LAN. Particularmente en una red NT.
JCM-2001 All rights
22
Patrones de tráfico
Anormales (An) - Ataques (At)
• At - Land Attack
13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46
Efecto
• Negación de servicio sobre Microsoft NT 4.0 SP.4
Explicación:
• Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que
aparece como si un RPC server envía datos erróneos a otro RPC server. El
segundo servidor rechaza (REJECT) el paquete y el primer servidor responde
con otro REJECT, creando un loop infinito que compromete la red.
JCM-2001 All rights
Tomado de: Northcutt et al. (2001) Pág. 191.
23
Patrones de tráfico
Anormales (An) - Ataques (At)
• At - Smurf Attack
13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF)
13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF)
13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF)
13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF)
13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF)
13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)
Efecto
• Negación de servicio sobre una red. Generalmente la dirección destino de los
paquetes es una dirección broadcast.
Explicación:
• Los atacantes crean paquetes donde no utilizan su dirección IP, sino que crean
paquetes con direcciones suplantadas. Cuando las máquinas en el sitio
intermediario respondan al ICMP echo request, ellos responden al computador
víctima. Se presenta congestión en la red y el computador víctima se degrada.
JCM-2001 All rights
Tomado de: Northcutt et al. (2001) Pág. 215-216.
24
Patrones de tráfico
Anormales (An) - Ataques (At)
• At - Predicción de secuencia
13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991
win 4096
13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0
13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096
13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992
win 4096
13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0
Efecto
• Si efectuamos la resta entre 2021824000 - 2021952000, tenemos como resultado
128.000. Con esto podemos predicir la respuesta de una conexión y la capacidad
de silenciar un lado, podemos invadir una sesión entre dos máquinas
Explicación:
• Esta es la fase preliminar de un ataque. Mientras se efectúa un SYN Flood, el
servidor se congestiona, se utiliza la relación de confianza que se tenga para
efectuar la conexión.
JCM-2001 All rights
Tomado de: Northcutt y Novak (2001) Pág. 122.
25
Patrones de tráfico
Anormales (An) - Ataques (At)
• An - Exploración Web extraña
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440
x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440
x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440
Efecto
• Esta exploración busca identificar servidores WEB.
Explicación:
• El envío de paquetes a la dirección 0 para tratar de difundir el paquete en ese
segmento. Sin embargo, la difusión de paquetes se aplica a protocolos UDP. Por
tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una
dirección única y ningún host responderá esta petición.
JCM-2001 All rights
Tomado de: Northcutt y Novak (2001) Pág. 256.
26
Firmas y Filtros
Firmas y Filtros
• Conceptos
– Firma
• Define o describe un patrón de tráfico de interés. Está presente en el tráfico
y la idea es encontrarlas y entenderlas.
– Filtros
• Si podemos entender los patrones, podemos crear filtros. El filtro
transcribe la descripción de la firma, bien en código legible por una
máquina o en las tablas de consulta para que un sensor pueda identificar el
tráfico.
• Intrusion Detection Systems
– Tipos de software de acuerdo con el Tipo de análisis
• Basados en firmas
• Basados en estadísticas
• Basados en análisis de integridad.
• Base de datos de firmas
– http://whitehats.com, http://www.snort.org
JCM-2001 All rights
28
Limitaciones de las firmas
• Falsos positivos Vs. Falsos negativos
– Falso Positivo
• Tráfico de red que aparentemente parece malicioso cuando realmente no lo
es.
– Falso Negativo
• Tráfico de red que aparentemente parece normal cuando realmente se está
materializando un ataque.
• Implicaciones
– Requieren correlación de otras fuentes para verificar si el tráfico
normal o no.
– Actualización permanente de nuevos patrones.
– Personal especializado y entrenado en análisis de tráfico.
– Aumentan sustancialmente la ventana de exposición.
– Las firmas son susceptibles de ser manipuladas y falseadas, para
confundir al IDS.
JCM-2001 All rights
29
Ejercicios de Análisis
Ejercicios
•
El siguiente tráfico corresponde a una fragmentación patológica de paquetes. Cuando
se reemsamblan los paquetes cuál es tamaño total del paquete?
08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:[email protected]+)
08:22:49.389005 thumper > 192.168.38.5: (frag 4321:[email protected]+)
08:22:49.389050 thumper > 192.168.38.5: (frag 4321:[email protected]+)
….
08:22:49.425543 thumper > 192.168.38.5: (frag 4321:[email protected]+)
08:22:49.425753 thumper > 192.168.38.5: (frag 4321:[email protected])
a. 65120
b. 1480
c. 4321
d. 66600
e. Ninguno de los anteriores
JCM-2001 All rights
31
Ejercicios
•
Considere el siguiente tráfico de red. Este tráfico corresponde a:
13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512
13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512
13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512
13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512
13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512
a. Posible manera de eludir la detección de un IDS
b. Posible manera para penetrar un Firewall
c. Combinación sospechosa de Flags
d. Posible manera de eludir sistemas de filtrado
e. Todas las anteriores
JCM-2001 All rights
32
Reflexiones
• Técnicas
– Los analistas de tráfico de red, son personal altemente entrenado y
especializado en protocolos de red, particularmente TCP/IP
– Se requiere software especializado. Recuerde que esta tecnología es naciente
y aún tiene que madurar.
• Organizacionales
– Personal técnico que conoce perfectamente las vulnerabilidades de su red.
Alto sentido de la responsabilidad con la información.
– Se requiere una disposición de la gerencia para que esta función de análisis de
tráfico se de dentro de la función de seguridad informática como factor
complementario a las actividades de dicha función.
• Legales
– El tráfico de red es información digital de la organización. Se está teniendo
acceso vía medios alternos. Debe estar normada esta actividad y sus
alcances para no incurrir en violación de confidencialidad de los datos.
– El análisis de tráfico puede ser parte de la evidencia en el proceso de análisis
forense de un incidente de seguridad, como un apoyo al esclarecimiento del
incidentes mismo.
JCM-2001 All rights
33
Referencias
• Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New
Riders.
• Northcutt, S y Novak, J. (2001) Detección de intrusos. Guia avanzada. 2da.
Edición. Prentice Hall.
• Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com.
• Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley.
• Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing.
• Anomino. (2000) Linux Máxima Seguridad. Prentice Hall.
• Northcutt, S. (1999) Network intrusion detection. An analyst’s handbook. New
Riders.
• Bace, R. (1999) Intrusion detection. Prentice Hall
• Gollman, D. (1999) Computer security. John Wiley & Son.
• Feit, S. (1998) TCP/IP. McGraw Hill.
• Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill.
O’Really.
• Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall.
Segunda Edición.
Referencias
• Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic.
Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html
• Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers.
Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html
• Spitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/
/~lspitz/papers.html
• Johnson, J. (2000) The joys of incident handling response process. Mayo 15.
Securityportal.com
• Casey, E. (2000) Digital evidence and computer crime. Academic Press.
• Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighter’s
handbook. O´Really.
• Weber, R. (1999) Information Systems control and audit. Prentice Hall.
• Stehpheson, P. (1999) Investigating computer-related crime. CRC Press.
• Richards, K. (1999) Network based intrusion detection: A review of technologies.
Computers & Security. Vol 18.
• Stephenson, P. (1998) Investigation internet security incidents. A brief introduction
to cyber forensic analysis. Presentación en Power Point
• Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance,
correlation, traps, trace back and response. John Wiley & Son.
Análisis de tráfico de red
Patrones normales Vs. Ataques
Jeimy J. Cano, Ph.D
Universidad de los Andes
[email protected]
Descargar

Análisis de tráfico de red. Tráfico normal Vs. Ataques.