通过网络活动识别攻击

Question

是否有可能(以及如何)从网络转储中判断是否存在缓冲区溢出攻击、DoS攻击或暴力攻击？一个DDoS可能更容易识别，但我认为上面提到的那些攻击看起来更像是正常的活动。

很抱歉我的新手问题，你的回答会有很大帮助。任何有关如何从网络转储中识别这些攻击的信息都将不胜感激。

Answer 1

这将取决于若干因素，例如所使用的协议。

为了得到答案，让我们假设所讨论的协议是未加密的HTTP。

缓冲区溢出.

这将是最棘手的3，因为它可能只是一个大的请求。您可能可以从缓冲区溢出中使用的一些常见模式(例如，一系列'A‘字符)来识别它，但这不是攻击的要求，因此在许多情况下很难检测到它，这取决于它与应用程序的标准请求有多相似

DoS.

这应该比较容易从网络转储中发现。您可能会看到对服务的大量请求，无论是SYN数据包(对于标准的SYN洪水攻击)还是可能是对应用程序DoS的特定应用程序请求(例如搜索)，随着服务的流量迅速增加，它可能是可见的。

Brute Force.

在大多数情况下，这很容易从网络转储中找到，因为您会看到大量不成功的登录到应用程序，要么来自一个IP地址，要么来自一个范围(取决于攻击是否是分布式的)。这很可能会从普通的交通模式中脱颖而出，因此相对容易被发现.