Este informe pretende proporcionar una visión actual del filtrado de entrada/salida y la susceptibilidad a la falsificación (spoofing) de paquetes de origen IP en una red determinada.
Este informe se basa actualmente en el proyecto Spoofer de CAIDA (Centro para el análisis de datos aplicados de Internet) . El proyecto CAIDA Spoofer prueba periódicamente la capacidad de una red para enviar y recibir paquetes con direcciones IP de origen falsificadas (paquetes falsificados) para respaldar los informes sobre las mejores prácticas actuales de validación de direcciones de origen: BCP38 .
La metodología detrás del proyecto Spoofer da como resultado una prueba iniciada por CAIDA para la suplantación en forma de paquetes probados enviados para probar la capacidad de una dirección/nodo IPv4 o IPv6 determinado para enviar/recibir paquetes falsificados. Cada nodo en el siguiente informe ha sido identificado por haber enviado o recibido paquetes falsificados. Cada uno está asignado a un CIDR y un sistema autónomo, es decir, diferentes proveedores de servicios de Internet.
Si bien los datos de este informe son los más completos de su tipo que conocemos, todavía es un proyecto incompleto y en curso. Los datos aquí son representativos solo de los bloques de red, direcciones y sistemas autónomos (ASes) de los clientes de los cuales recibimos informes diariamente (es decir, que participan en el proyecto CAIDA).
Las opiniones, los comentarios y las correcciones de errores son siempre bienvenidos tanto para Shadowserver como para CAIDA (poniéndose en contacto con spoofer-info@caida.org) . Esto también incluye la opción de participación directa en el proyecto a través de la descarga del software de prueba del cliente para contribuir automáticamente con un informe a la base de datos de CAIDA. Para obtener más detalles sobre la participación directa y otras preguntas, consulte las Preguntas frecuentes sobre el proyecto CAIDA Spoofer .
Nombre de archivo: event4_ip_spoofer
CAMPOS
timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
protocol | Tipo de paquete del tráfico de conexión (UDP/TCP) |
src_ip | La IP del dispositivo en cuestión |
src_port | Puerto de origen de la conexión IP |
src_asn | ASN de la IP de origen |
src_geo | País de la IP de origen |
src_region | Región de la IP de origen |
src_city | Ciudad de la IP de origen |
src_hostname | DNS inverso de la IP de origen |
src_naics | Código del sistema de clasificación de la industria de América del Norte |
src_sector | Sector al que pertenece la PI en cuestión; por ejemplo, Comunicaciones, Comercial |
device_vendor | Proveedor del dispositivo de origen |
device_type | Tipo de dispositivo de origen |
device_model | Modelo de dispositivo de origen |
public_source | Fuente de los datos del evento |
infection | Descripción del malware/infección |
family | Familia de malware o campaña asociada con el evento |
tag | Atributos de eventos |
application | Nombre de la aplicación asociada al evento |
version | Versión de software asociada al evento |
event_id | Identificador único asignado a la IP de origen o al evento |
network | CIDR de la IP del dispositivo enviando/recibiendo con éxito paquetes falsificados como resultado de la prueba CAIDA |
routedspoof | Recibido: se recibió el paquete falsificado; Bloqueado: no se recibió el paquete falsificado, pero sí el paquete no falsificado; Reescrito: se recibió un paquete falsificado, pero la dirección de origen se cambió en el camino; Desconocido: no se recibió ningún paquete falsificado ni no falsificado |
session | ID de sesión NAT |
nat | Respuesta involucrada NAT (Verdadero) / sin NAT (Falso) |
EJEMPLO
"timestamp","protocolo","src_ip","src_port","src_asn","src_geo","src_region","src_city","src_hostname","src_naics","src_sector","device_vendor","device_type ","device_model","dst_ip","dst_port","dst_asn","dst_geo","dst_region","dst_city","dst_hostname","dst_naics","dst_sector","public_source","infection", "familia","etiqueta","aplicación","versión","event_id","red","routedspoof","sesión","nat"
"2021-03-28 00:42:59","tcp","98.191.250.0","22898,"US","OKLAHOMA","OKLAHOMA CITY","ip-98.191.250.0.atlinkservices.com" ,517311,,,,,,,,,,,,,,"caida","ip-spoofer",,,,"ipv4","98.191.250.0/24","recibido","1112907,"Verdadero "
"2021-03-28 01:36:22","tcp","191.7.16.0","262485,"BR","RIO DE JANEIRO","NOVA IGUACU",,,,,,,,,, ,,,,,,"caida","ip-spoofer","ipv4","191.7.16.0/24","recibido","1112914,"Falso"
"2021-03-28 02:10:58","tcp","202.53.160.0","23923,"BD","DHAKA","DHAKA",,,,,,,,,,,,, ,,,"caida","ip-spoofer","ipv4","202.53.160.0/24","recibido","1112931,"Verdadero"
"2021-03-28 03:41:51","tcp","87.121.75.0","134697,"AU","QUEENSLAND","BRISBANE",,,,,,,,,,,,, ,,,"caida","ip-spoofer","ipv4","87.121.75.0/24","recibido","1112953,"Verdadero"
"2021-03-28 06:07:17","tcp","189.201.194.0","262944,"MX","COAHUILA","SALTILLO","ip-189-201-194-0.slw .spectro.mx",,,,,,,,,,,,,,"caida","ip-spoofer","ipv4","189.201.194.0/24","recibido", 1113015,"Verdadero"
"2021-03-28 06:59:53","tcp","197.15.48.0","37671,"TN","TÚNEZ","TÚNEZ",,517311,,,,,,,,,, ,,,,"caida","ip-spoofer","ipv4","197.15.48.0/24","recibido","1113035,"Verdadero"
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/ip-spoofer-events-report/