1 Contenido Introducción Conceptos básicos de TCP/IP –Paquete IP –Paquete TCP –Breves ideas sobre fragmentación Introducción a TCPDump/Windump –Sniffers.

Slides:



Advertisements
Presentaciones similares
Capa 4 Capa de Transporte
Advertisements

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Fragmentación práctico 0: Se envía un paquete de H1 a H2 de 1300 bits (1320 en total con encabezamiento) P P P24600 P IdDespFinalBits.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Datagram IP, Fragmentación
Capa de transporte.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Diego E. Medina R. Director de Proyectos Cyberia S.A.
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
MODELO TCP/IP.
TCP/IP V4 Redes de Computadoras uclv.
Sebastián Barbieri IP - ICMP Comunicación de Datos II Ingeniería en Sistemas – Facultad Cs. Exactas Universidad Nacional de Centro de la Prov. de Bs. As.
PROTOCOLO DE TRANSPORTE Profesor Daniel Díaz Ataucuri Introducción
66.69 Criptografía y Seguridad Informática FIREWALL.
Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Ing. Héctor A. Hernández.
Funcionalidad de la capa de Aplicación y la capa de Transporte. Capas superiores.
Sistemas de Comunicación Magistral Nro. 8 Capa 4: Transporte Las funciones principales de la capa de transporte son transportar y regular el flujo de información.
Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra
Redes 3º curso Ingeniería Técnica en Informática de Sistemas UNED.
El Protocolo ICMP Cesar Guisado 2003.
TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.
Andrés Marín L. Feb de 2011 INTERNET.
1 Capítulo 19: Un mecanismo de reporte de errores (ICMP) ICD-327: Redes de Computadores Agustín J. González.
Instituto San José Del Pedregal Tema : Protocolos y Usos de Capas Integrantes : Arlington Josué Licona David Noel Aguilar Darwin Adalid Núñez.
ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Protocolos del modelo TCP/IP
PROTOCOLOS DE COMUNICACIÓN
Ing. Elizabeth Guerrero V.
4. Introducción a IP,TCP,UDP,ARP,ICMP
Ing. Elizabeth Guerrero V.
Nivel de Transporte en Internet
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II
PROTOCOLOS Modelo TCP/IP
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.
Ataques. Ping of Death (ataque DOS) El atacante manda un paquete IP dividido en fragmentos Los fragmentos en total exceden la longitud máxima de un paqute.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
UF0854: Instalación y configuración de los nodos de una red local.
Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.
Capítulo 8, Sección 8.6: IPsec
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 4: Capa Red - II ELO322: Redes de Computadores
Capítulo 4: Capa Red - II ELO322: Redes de Computadores
Mensaje Segmento Paquete Frame Hola, que tal FCS Hola, que tal
Mensaje Segmento Paquete Frame Hola, que tal FCS Hola, que tal
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capa Aplicación: File Transfer Protocol
Spoofing NOMBRES: David Ponciano Valdez Mamani
Capa Aplicación: File Transfer Protocol
Capítulo 8 Seguridad en Redes WEP, FW, IDS
Capítulo 8 Seguridad en Redes WEP, FW, IDS
ARP - Address Resolution Protocol
Dispositivos de seguridad perimetral Por: Alexander Urbina.
INTRODUCCION A LAS REDES DE DATOS Ing. Edgar Enrique Ruiz Facultad de Ingeniería Departamento de Ingeniería de Sistemas Julio 2014.
Eslared 2006 Seguridad Informática
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
CAPA FÍSICA DEL MODELO OSI La capa física: Señales de comunicación.
2 Es el dispositivo digital lógico de interconexión de equipos que opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos.
Capa Aplicación: File Transfer Protocol
ARQUITECTURA DE UN NAVEGADOR WEB ESTO SE REFIERE AL SOFTWARE O HARDWARE? Un navegador web es un programa que codifica y decodifica una serie de reglas,
PROTOCOLO DE COMUNICACIÓN Y CABLEADO ESTRUCTURADO
PROTOCOLO DE COMUNICACIÓN Y CABLEADO ESTRUCTURADO
En la familia de protocolos de Internet UDP proporciona una sencilla interfaz entre la capa de red y la capa de aplicación. UDP no otorga garantías para.
Capítulo 8 Seguridad en Redes WEP, FW, IDS
CAPA DE RED- OSI. Intercambiar secciones de datos individuales a través de la red entre dispositivos finales identificados. Provee servicios para:
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
Curso Redes (IS20) -Capítulo 5 1 Redes (IS20) Ingeniería Técnica en Informática de Sistemas Práctica 3- Estudio de tráfico sobre LAN
Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.
Transcripción de la presentación:

1 Contenido Introducción Conceptos básicos de TCP/IP –Paquete IP –Paquete TCP –Breves ideas sobre fragmentación Introducción a TCPDump/Windump –Sniffers –Convenciones para analizar resultados Patrones –Normales –Anormales - Ataques

2 Agenda Firmas y filtros –Conceptos –IDS - Intrusion Detection Systems Limitaciones de las firmas –Falsos Positivos –Falsos Negativos Ejercicios de análisis Reflexiones Referencias

3 Introducción La evolución de los ataques a las infraestructuras computacionales cada vez más son más sofisticados. Se requiere un entendimiento más detallado de los ataques y sus consecuencias. Los analistas de seguridad no tienen tiempo para desarrollar habilidades sobre análisis de tráfico de red. Sistemas IDS La ventana de exposición se hace cada vez mayor: Descubrimiento de la falla Vs. Generación del parche. Desarrollo de estrategias para análisis de registros de log. Entrenamiento especializado que detalle las características técnicas de los protocolos de comunicaciones, particularmente TCP/IP.

Conceptos básicos de TCP/IP

5 Aplicación Presentación Sesión Transporte Red Enlace de datos Físico Aplicación Presentación Sesión Transporte Red Enlace de datos Físico Servicios de aplicación Servicios de Red TCP UDP IP ICMP ARP RARP APLICACIÓN DE RED

6 Conceptos básicos de TCP/IP Protocolo IP Version Tamaño Cabecera Precedencia Tipo de Servicio Tamaño del Datagrama Identificación Banderas Desplazamiento del segmento Tiempo de vidaProtocolo Suma de control de la cabecera Dirección ORIGEN Dirección DESTINO OPCIONES Ruta de origen estricta Marcas de tiempo Seguridad Rellenos DATOS

7 Conceptos básicos de TCP/IP Protocolo IP TRÁFICO TOMADO CON HOPPA ANALYZER --- Packet received: 22:26: Length: Assigned number: MAC destination: 01:00:5E:00:00:02 MAC source: 00:B0:C2:F5:4B:E4 Frametype: Ethernet II, Protocol field: 0800h Protocol: IP IP 4 bits IP version: 4h IP 4 bits Header length: 5h IP 8 bits Type of service: C0h IP 16 bits Total length: 0048d IP 16 bits Identification: 0000h IP 3 bits Flags: 0h IP 13 bits Fragment Offset: 0000h IP 8 bits TTL: 02h IP 8 bits Protocol type: UDP = 11h IP 16 bits Header Checksum: 2801h IP source address: XX.YY IP destination address: ZZZ HEX data: ASCII data: 07 C1 07 C1 00 1C 5F _......d..cisc 6F D FD o

8 Conceptos básicos de TCP/IP Protocolo TCP Banderas Puntero Urgente Número de Secuencia Suma de control Puerto ORIGENPuerto DESTINO OPCIONES DATOS Número de confirmación ReservadoTamaño CabeceraVentana

9 Conceptos básicos de TCP/IP Protocolo TCP TRÁFICO TOMADO CON WINDUMP attacker > target.53: S : (0) win 8760 target.53 > attacker.23616: S : (0) ack win 1024 (DF) attacker > target.53:. ack 1 win 8760 (DF) attacker.23616: Puerto ORIGEN target.53:Puerto DESTINO S:Bandera de SYN : Número de secuencia. Se utiliza para ordenar los datos recibidos. (0):Número de bytes enviados en el paquete. win 8760:Ventana. Buffer que se esta recibiendo en bytes de attacker mss 1460:Maximun Segment Size (Campo OPCIONES) Indicar el tamaño del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo. Informa que la red física en la que esta attacker no debería recibir más de 1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet. ack Acusa recibo de la conexión = ack 1ACK final e independiente a target. (DF)No fragmentado.

10 Conceptos básicos de TCP/IP Fragmentación Cuándo? –Se produce cuando un datagrama IP que viaja por una red tiene que atravesar una red con una unidad de transmisión máxima (MTU) que es menor que el tamaño del datagrama. –EJEMPLO: MTU de un datagrama IP para Ethernet es 1500 bytes Si un datagrama es mayor de 1500 bytes y necesita atravesar una red Ethernet, necesita ser framentado por medio de un enrutador que se dirija a la red Ethernet. Qué información se necesita para reconstruir el paquete? No. identificación del fragmento. Información del lugar dentro del paquete inicial Información sobre longitud de datos transportados por el fragmento. Indicador sobre si existen mas fragmentos.

11 Conceptos básicos de TCP/IP Fragmentación TRÁFICO TOMADO CON WINDUMP attack.org > mynet.com: icmp: echo request (frag attack.org > mynet.com: (frag attack.org > mynet.com: (frag icmp: echo request Petición de echo request a mynet.com (frag Fragmento No seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos (0 pues es el primer fragmento, más el signo +, que indica la presencia de más fragmentos. (frag que se omite la identificación del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en windump. El signo + advierte que vienen más fragmentos. (frag Fragmento No seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos:2960. No aparece signo +, lo que sugiere que no hay más fragmentos.

Introducción a TCPDump/Windump

13 Introducción a TCPDump/Windump Sniffers - Escuchas electrónicas Definición –Sniffer es un método de ataque pasivo por medio del cual un equipo captura información que circula de un medio físico, independientemente de si ésta se encuentra destinada a su MAC. Tomado de: Objetivos  Observar los patrones del tráfico de la red.  Identificar las direcciones IP origen y destino de los paquetes IP.  Determinar relaciones entre máquinas y servicios.  Capturar información crítica que permita el acceso a otros recursos de la red.  Capturar información confidencial que circula a través de la red.  Obtener información sin generar rastros.

14 Introducción a TCPDump/Windump Windump Consideraciones –Sniffer para Windows, creado en el Instituto Politécnico de Torino en Italia. –Captura: UDP, ICMP, ARP, TCP http, snmp, nntp, pop, ftp, imap (internet message access protocol) –Requisitos de instalación Packet Driver - Según si es NT o 2000 Ejecutable: windump.exe –Sintáxis windump -n -S -v –-n Mostar la dirección IP en lugar del nombre del equipo –-S Mostrar número de secuencia –-v Verbose windump host –Sólo revisa el tráfico desde y hacia el host descrito.

15 Introducción a TCPDump/Windump Windump Convenciones 13:50: ATTACK > gserv.zdnet.com.80: F : (0) ack win 8553 (DF) Estampilla de tiempo: 13:50: IP y Puerto fuente: ATTACK IP y puerto destino: gserv.zdnet.com.80 F : (0) ack F Flag de fin de transmisión : (0) Número de secuencia.(0) No datos ack :Acuse en sincronización esperado win 8553: Tamaño de la ventana. Don’t Fragment Bit Presente?: (DF)

Patrones de tráfico de Red

17 Patrones de tráfico Normales FTP 1. 11:46: maq1.hack.com.1053 > flood.victim.com.21: S : (0) 2. 11:46: flood.victim.com.21> maq1.hack.com.1053: S : (0) ack :46: maq1.hack.com.1053 > flood.victim.com.21:. ack :46: flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack :46: maq1.hack.com.1053 > flood.victim.com.21:. ack 24 Conexión FTP –Sincronización de tres sentidos - (1,2,3) –Transmisión de mensaje de bienvenida - (4, 5)

18 Patrones de tráfico Normales DNS - Solicitud de resolución de la dirección 1. host.my.com.1716 > dns.my.com.53: 1+ (35) 2. dns.my.com.53 > h.root-servers.net.53: (30) (DF) 3. h.root-servers.net.53>dns.my.com.53: /3/3 (153) (DF) 4. dns.my.com.53>server1.sans.org (30) (DF) 5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172) 6. dns.my.com.53>host.my.com.1716: 1* 1/3/3 Tráfico tomado de: Northcutt y Novak (2001) Pág Host.my.com efectúa petición para resolver la dirección UDP de 35 bytes 2. Dns.my.com intenta conexión por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. petición h.root-servers.net no obtiene respuesta a la petición (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales. 4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. petición: Solicita recursión (signo +) 5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada. 6. dns.my.com responde a host.my.com, con la dirección IP de (no se ve aqui) mas los tres registros autorizados y los adicionales.

19 Patrones de tráfico Normales PING - ICMP 13:50: otro0304.victim.net > otro.victim.net: icmp: echo request 13:50: otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50: otro0304.victim.net > otro.victim.net: icmp: echo request 13:50: otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50: otro0304.victim.net > otro.victim.net: icmp: echo request 13:50: otro.victim.net > otro0304.victim.net: icmp: echo reply Máquina arriba –Ejecución del comando ping otro.victim.net

20 Patrones de tráfico Normales TELNET 1. maq1.net > victim.com.23: S : (0) win 8760 (DF) 2. victim.com.23 > maq1.net.39904: S : (0) ack win 1024 (DF) 3. maq1.net > victim.com.23:. ack 1win 8760 (DF) 4. maq1.net > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF) 5. victim.com.23 > maq1.net : P 1:14(13) ack 1 win victim.com.23 > maq1.net : P 14:23(9) ack 28 win , 2, 3 Sincronización de tres sentidos 4. La máquina maq1.net enviando 27 bytes de datos a victim.com representa el siguiente byte que se espera. 5. La máquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos. 6. Envío de la máquina victim.com.23 envía 9 bytes adicionales y se efectúa un ACK 28 ya que el byte 28 es el que se espera.

21 Patrones de tráfico Normales ARP 13:50: arp who-has LK tell otra.victim.net 13:50: arp who-has LK tell info.victim.net 13:50: arp who-has COLASRV tell xxx.victim.net 13:50: arp who-has LK tell LK :50: arp who-has tell :50: arp who-has INFOGER tell info.victim.net 13:50: arp who-has tell DCO :50: arp who-has LP tell info.victim.net Preguntas de reconocimiento de máquinas en una red LAN. Particularmente en una red NT.

22 Patrones de tráfico Anormales (An) - Ataques (At) At - Land Attack 13:50: protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50: protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50: protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50: protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50: protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 Efecto Negación de servicio sobre Microsoft NT 4.0 SP.4 Explicación: Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server envía datos erróneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red. Tomado de: Northcutt et al. (2001) Pág. 191.

23 Patrones de tráfico Anormales (An) - Ataques (At) At - Smurf Attack 13:50: > : icmp echo request (DF) 13:50: > : icmp echo request (DF) 13:50: > : icmp echo request (DF) 13:50: > : icmp echo request (DF) 13:50: > : icmp echo request (DF) 13:50: > : icmp echo request (DF) Efecto Negación de servicio sobre una red. Generalmente la dirección destino de los paquetes es una dirección broadcast. Explicación: Los atacantes crean paquetes donde no utilizan su dirección IP, sino que crean paquetes con direcciones suplantadas. Cuando las máquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador víctima. Se presenta congestión en la red y el computador víctima se degrada. Tomado de: Northcutt et al. (2001) Pág

24 Patrones de tráfico Anormales (An) - Ataques (At) At - Predicción de secuencia 13:50: apollo.it.luc.edu.1000 > x-terminal.shell: S : (0) win :50: x-terminal.shell > apollo.it.luc.edu.1000: S : (0) ack win :50: apollo.it.luc.edu.1000 > x-terminal.shell: R : (0) win 0 13:50: apollo.it.luc.edu.999 > x-terminal.shell: S : (0) win :50: x-terminal.shell > apollo.it.luc.edu.999: S : (0) ack win :50: apollo.it.luc.edu.999 > x-terminal.shell: R : (0) win 0 Efecto Si efectuamos la resta entre , tenemos como resultado Con esto podemos predicir la respuesta de una conexión y la capacidad de silenciar un lado, podemos invadir una sesión entre dos máquinas Explicación: Esta es la fase preliminar de un ataque. Mientras se efectúa un SYN Flood, el servidor se congestiona, se utiliza la relación de confianza que se tenga para efectuar la conexión. Tomado de: Northcutt y Novak (2001) Pág. 122.

25 Patrones de tráfico Anormales (An) - Ataques (At) An - Exploración Web extraña x.y.y.6879 > : S : (0) win x.y.y.7136 > : S : (0) win x.y.y.6879 > : S : (0) win x.y.y.7395 > : S : (0) win x.y.y.7136 > : S : (0) win Efecto Esta exploración busca identificar servidores WEB. Explicación: El envío de paquetes a la dirección 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusión de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones.0 y.255 se interpreta como una dirección única y ningún host responderá esta petición. Tomado de: Northcutt y Novak (2001) Pág. 256.

Firmas y Filtros

27 Firmas y Filtros Conceptos –Firma Define o describe un patrón de tráfico de interés. Está presente en el tráfico y la idea es encontrarlas y entenderlas. –Filtros Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripción de la firma, bien en código legible por una máquina o en las tablas de consulta para que un sensor pueda identificar el tráfico. Intrusion Detection Systems –Tipos de software de acuerdo con el Tipo de análisis Basados en firmas Basados en estadísticas Basados en análisis de integridad. Base de datos de firmas –

28 Limitaciones de las firmas Falsos positivos Vs. Falsos negativos –Falso Positivo Tráfico de red que aparentemente parece malicioso cuando realmente no lo es. –Falso Negativo Tráfico de red que aparentemente parece normal cuando realmente se está materializando un ataque. Implicaciones –Requieren correlación de otras fuentes para verificar si el tráfico normal o no. –Actualización permanente de nuevos patrones. –Personal especializado y entrenado en análisis de tráfico. –Aumentan sustancialmente la ventana de exposición. –Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.

Ejercicios de Análisis

30 Ejercicios El siguiente tráfico corresponde a una fragmentación patológica de paquetes. Cuando se reemsamblan los paquetes cuál es tamaño total del paquete? 08:22: thumper > : icmp echo request (frag 08:22: thumper > : (frag 08:22: thumper > : (frag …. 08:22: thumper > : (frag 08:22: thumper > : (frag a b c d e. Ninguno de los anteriores

31 Ejercicios Considere el siguiente tráfico de red. Este tráfico corresponde a: 13:10: attack.ip.one.0 > : SF : (0) win :10: attack.ip.one.0> : SF : (0) win :10: attack.ip.one.0> : SF : (0) win :10: attack.ip.one.0> : SF : (0) win :10: attack.ip.one.0> : SF : (0) win 512 a. Posible manera de eludir la detección de un IDS b. Posible manera para penetrar un Firewall c. Combinación sospechosa de Flags d. Posible manera de eludir sistemas de filtrado e. Todas las anteriores

32 Reflexiones Técnicas –Los analistas de tráfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IP –Se requiere software especializado. Recuerde que esta tecnología es naciente y aún tiene que madurar. Organizacionales –Personal técnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la información. –Se requiere una disposición de la gerencia para que esta función de análisis de tráfico se de dentro de la función de seguridad informática como factor complementario a las actividades de dicha función. Legales –El tráfico de red es información digital de la organización. Se está teniendo acceso vía medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violación de confidencialidad de los datos. –El análisis de tráfico puede ser parte de la evidencia en el proceso de análisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.

Referencias Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. Northcutt, S y Novak, J. (2001) Detección de intrusos. Guia avanzada. 2da. Edición. Prentice Hall. Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com. Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing. Anomino. (2000) Linux Máxima Seguridad. Prentice Hall. Northcutt, S. (1999) Network intrusion detection. An analyst’s handbook. New Riders. Bace, R. (1999) Intrusion detection. Prentice Hall Gollman, D. (1999) Computer security. John Wiley & Son. Feit, S. (1998) TCP/IP. McGraw Hill. Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. O’Really. Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edición.

Referencias Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Spitzner, L. (2000) Serie Know your Enemy. /~lspitz/papers.html Johnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.com Casey, E. (2000) Digital evidence and computer crime. Academic Press. Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighter’s handbook. O´Really. Weber, R. (1999) Information Systems control and audit. Prentice Hall. Stehpheson, P. (1999) Investigating computer-related crime. CRC Press. Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers & Security. Vol 18. Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber forensic analysis. Presentación en Power Point Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation, traps, trace back and response. John Wiley & Son.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.