Come rilevare il traffico ICMP sospetto con Plixer Scrutinizer

06/10/2020

La versione 19 di Plixer Scrutinizer introduce una serie di nuovi controlli per particolari metriche di comportamento per rilevare il traffico ICMP sospetto.

Alcuni anni fa, è stato aggiunto un algoritmo comportamentale a Plixer Scrutinizer che esaminava tutti i dati di flusso raccolti e determinava se era in atto un possibile ICMP tunneling. Quell’algoritmo si attivava se determinava che le dimensioni dei pacchetti erano anormali per il traffico ICMP da una piattaforma Windows o Linux.

Diversi clienti hanno trovato un valore immediato nella capacità di scoprire questo tipo di comportamento del traffico, ma alla fine si trattava solo di fornire un controllo per una singola dimensione correlata al comportamento ICMP sospetto.

Benvenuto in Plixer Scrutinizer versione 19, adesso è quindi possibile rilevare comportamenti sospetti relativi a:

Ping scan o ping sweep: Avvisa quando un host è sospettato di eseguire una ping scan. Un ping scan utilizza le richieste di ICMP echo per scoprire quali IP sono in uso su una rete. Il comportamento è comunemente utilizzato dagli aggressori che tentano di trovare obiettivi da compromettere o per il lateral movement.

Ping floods: Avvisa quando viene rilevato un ping flood. Un ping flood è caratterizzato da un grande volume di richieste di ICMP echo destinate a sopraffare la capacità del target di elaborare traffico legittimo.

ICMP destination unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili è stato inviato all’indirizzo IP sospetto.

ICMP port unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili sono stati inviati all’indirizzo IP sospetto.

Large Ping: Funzione disponibile in una versione precedente, era utilizzato principalmente per rilevare possibili tunneling. Avvisa quando è stato determinato che, in base al numero di byte e al numero di pacchetti, la dimensione del pacchetto sembra essere al di fuori della normale dimensione del pacchetto ICMP.

Tunneling: Con la versione 19 di Plixer Scrutinizer, è stata introdotta la Plixer Security Intelligence, un’appliance di machine learning dedicata, che acquisisce e analizza i dati direttamente da Scrutinizer. Trasmettendo i dati di flusso al motore ML, è possibile analizzare il traffico ICMP su una serie di dimensioni diverse che ci consentono di comprendere:

  • hosts trends
  • numero di hosts targeted
  • variazioni nei conteggi di byte/packet
  • dimensione/durata

La raccolta dei flussi dai dispositivi di rete, fornisce una preziosa visibilità forense in qualsiasi conversazione che attraversa la rete. Plixer fornisce una soluzione che avvisa in modo proattivo della presenza di traffico sospetto e dispone dei dettagli sul traffico, necessari per mitigare l’incidente.

L’amministratore vede l’avviso e un singolo clic del mouse fornisce informazioni generali sull’avviso.

Chi è il trasgressore?

A quale segmento di rete appartiene questo trasgressore?

Quali erano gli obiettivi?

Qualche altro allarme è correlato a questo host?

Hai bisogno di informazioni sul traffico ICMP sospetto che si sposta sulla tua rete? Contattaci se vuoi saperne di più o se hai bisogno di aiuto con le configurazioni degli allarmi.

 

 

Webinar - 30/11/2022, 10:30 AM

Scopri i vantaggi di una soluzione unificata di gestione degli endpoint
PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

7 suggerimenti per fermare gli hacker del Wi-Fi

7 suggerimenti per fermare gli hacker del Wi-Fi

La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali...