Attaques courantes 2020/2021
Attaques courantes 2020/2021 jppCe tableau présente un récapitulatif des "ennuis" détectés par Suricata sur la dernière année.
On y remarque en tête les attaques liées à "VWorks",ce tableau ne comporte pas les détections sur le port 443 car Suricata ne peut interpréter les transmissions SSL/TLS.
On remarque aussi en deuxième position les détections correspondant, en général, à des attaques n'ayant pas donné de résultat car le service destinataire a répondu par un message d'erreur : style "Bad request" pour le port 80 ou coupure de la connexion pour un serveur SMTP.
Nombre | Description | |
66272 | ET EXPLOIT Possible VXWORKS Urgent11 RCE Attempt - Urgent Flag | |
14520 | SURICATA Applayer Detect protocol only one direction | |
7538 | SURICATA TLS invalid record/traffic | |
7153 | SURICATA SMTP invalid reply | |
2415 | SMTP no server welcome message | |
1593 | SURICATA STREAM reassembly overlap with different data | |
1590 | SURICATA Applayer Wrong direction first Data | |
1301 | SURICATA SMTP data command rejected | |
1244 | WEB acces /.env | |
1186 | SURICATA TCP invalid option length | |
972 | ET EXPLOIT Possible Dovecot Memory Corruption Inbound (CVE-2019-11500) | |
944 | SURICATA HTTP missing Host header | |
906 | ET POLICY Observed Cloudflare DNS over HTTPS Domain (cloudflare-dns .com in TLS SNI), celui là est normal ici | |
834 | ET DNS Query for .to TLD | |
775 | GPL EXPLOIT ntpdx overflow attempt | |
744 | SURICATA Applayer Mismatch protocol both directions | |
717 | Web attack phpmyadmin | |
583 | Web attack /user/login | |
558 | GPL DNS zone transfer UDP | |
498 | ET POLICY CURL User Agent | |
484 | ET POLICY Credit Card Number Detected in Clear (16 digit) | |
481 | Web Attack /wp-admin | |
449 | ET USER_AGENTS Microsoft Device Metadata Retrieval Client User-Agent | |
419 | ET EXPLOIT Possible CVE-2020-11910 anomalous ICMPv4 type 3,code 4 Path MTU Discovery | |
416 | SURICATA TCP option invalid length | |
408 | ET EXPLOIT Possible CVE-2016-2211 Symantec Cab Parsing Buffer Overflow | |
407 | WEB Attack /plugin | |
399 | ET POLICY SSLv3 Used in Session | |
380 | Web Attack /wp-content | |
353 | ET POLICY TLSv1.0 Used in Session |
Ce tableau ne tient évidement pas compte de la folie "Log4j" ... qui n'a pas eu chez moi d'énormes répercussions. Suricata a bien epéré quelques tentatives mais pas une invasion.