Come rilevare il traffico ICMP sospetto con Plixer Scrutinizer

06/10/2020

La versione 19 di Plixer Scrutinizer introduce una serie di nuovi controlli per particolari metriche di comportamento per rilevare il traffico ICMP sospetto.

Alcuni anni fa, è stato aggiunto un algoritmo comportamentale a Plixer Scrutinizer che esaminava tutti i dati di flusso raccolti e determinava se era in atto un possibile ICMP tunneling. Quell’algoritmo si attivava se determinava che le dimensioni dei pacchetti erano anormali per il traffico ICMP da una piattaforma Windows o Linux.

Diversi clienti hanno trovato un valore immediato nella capacità di scoprire questo tipo di comportamento del traffico, ma alla fine si trattava solo di fornire un controllo per una singola dimensione correlata al comportamento ICMP sospetto.

Benvenuto in Plixer Scrutinizer versione 19, adesso è quindi possibile rilevare comportamenti sospetti relativi a:

Ping scan o ping sweep: Avvisa quando un host è sospettato di eseguire una ping scan. Un ping scan utilizza le richieste di ICMP echo per scoprire quali IP sono in uso su una rete. Il comportamento è comunemente utilizzato dagli aggressori che tentano di trovare obiettivi da compromettere o per il lateral movement.

Ping floods: Avvisa quando viene rilevato un ping flood. Un ping flood è caratterizzato da un grande volume di richieste di ICMP echo destinate a sopraffare la capacità del target di elaborare traffico legittimo.

ICMP destination unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili è stato inviato all’indirizzo IP sospetto.

ICMP port unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili sono stati inviati all’indirizzo IP sospetto.

Large Ping: Funzione disponibile in una versione precedente, era utilizzato principalmente per rilevare possibili tunneling. Avvisa quando è stato determinato che, in base al numero di byte e al numero di pacchetti, la dimensione del pacchetto sembra essere al di fuori della normale dimensione del pacchetto ICMP.

Tunneling: Con la versione 19 di Plixer Scrutinizer, è stata introdotta la Plixer Security Intelligence, un’appliance di machine learning dedicata, che acquisisce e analizza i dati direttamente da Scrutinizer. Trasmettendo i dati di flusso al motore ML, è possibile analizzare il traffico ICMP su una serie di dimensioni diverse che ci consentono di comprendere:

  • hosts trends
  • numero di hosts targeted
  • variazioni nei conteggi di byte/packet
  • dimensione/durata

La raccolta dei flussi dai dispositivi di rete, fornisce una preziosa visibilità forense in qualsiasi conversazione che attraversa la rete. Plixer fornisce una soluzione che avvisa in modo proattivo della presenza di traffico sospetto e dispone dei dettagli sul traffico, necessari per mitigare l’incidente.

L’amministratore vede l’avviso e un singolo clic del mouse fornisce informazioni generali sull’avviso.

Chi è il trasgressore?

A quale segmento di rete appartiene questo trasgressore?

Quali erano gli obiettivi?

Qualche altro allarme è correlato a questo host?

Hai bisogno di informazioni sul traffico ICMP sospetto che si sposta sulla tua rete? Contattaci se vuoi saperne di più o se hai bisogno di aiuto con le configurazioni degli allarmi.

 

 

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Altre source utili per DNS e Domain logging

Altre source utili per DNS e Domain logging

Questo post finale tratta altre source utili per DNS e Domain logging che non sono stati trattati nei post precedenti. Questo post termina quindi con una nota di sfide da anticipare e idee per i passaggi successivi oltre la registrazione. Per una maggior comprensione...