jueves, 4 de diciembre de 2008

Como identificar ataques por fuerza bruta

Hablemos de ataques realizados por fuerza bruta a sistemas que tienen Windows instalado. Para intentar identificarlos vamos a utilizar una herramienta llamada LogParser que ademas es free.

Descarga LogParser .


¿Que es LogParser?.
Pues basicamente digamos que es un analizador de fuentes de datos y de ficheros Logs con la cual podemos hacer busquedas en:

-Los registros de sucesos
-En los sistemas de archivos
-Buscar objetos en active Director
-Buscar en los registros de Servicios de Internet Information Server (IIS).

Identificando ataques por fuerza bruta

Pues eso, el titulo es de lo más sugerente, pero en esta ocasión vamos a utilizar dos scripts.

El primero nos va a contar el número de inicios de sesión incorrectos, de esta forma nos hacemos una idea de la cantidad de 'logones' por usuario. Este es el script y a continuación el resultado






El segundo script va un poco más alla y nos cuenta los logones incorrectos por usuario, horas y por dias.



Con estos dos scripts podemos estudiar si alguno de estos usuarios es utilizado por alguna herramienta automatizada que intenta por medio de diccionario u otro medio entrar al sistema.

En la anterior imagen, podemos comprobar que el Administrador,Anna y Luis, tienen demasiados fallos en el inicio de sesión, por lo que que habría que estudiar cual es el motivo. En el script podemos ajustar el tiempo para que lo muestre por minutos, dandonos una mejor visión.

Fuente: http://conexioninversa.blogspot.com/

No hay comentarios: