Archivo

Archive for julio 15, 2011

Usando Preprocessors en Snort – Parte V – Preprocessor SSH y DNS

julio 15, 2011 Deja un comentario

SSH PREPROCESSOR

Se trata de un preprocessor que identifica una serie de exploits ejecutados contra un servidor SSH/OPENSSH, de esta forma se puede detectar cuando esta ocurriendo un ataque y las medidas que se deben tomar para afrontarlo. Este preproprocessor detecta algunos de los exploits mas críticos sobre protocolo SSH, tales como Challenge-Response Buffer Overflow, CRC 32, Secure CRT, y Protocol Mismatch exploit. , Para esto Snort cuenta el número de bytes transmitidos al servidor, de esta forma puede detectar un payload malicioso por su tamaño, ya que algunos de estos exploits basan su funcionamiento en exceder los limites de determinadas funciones del servidor SSH (antes y después del intercambio de clave), por otro lado algunos de estos afectan solamente a determinadas versiones de SSH como por ejemplo Challenge-Response Buffer Overflow solamente afecta a SSHv2 y CRC 32 a SSHv1. De este modo la cadena correspondiente a la versión de SSH es utilizada para distinguir los ataques.

Leer más…

A %d blogueros les gusta esto: