Attaques courantes 2020/2021

Attaques courantes 2020/2021 jpp

Ce tableau présente un récapitulatif des "ennuis" détectés par Suricata sur la dernière année. 
On y remarque en tête les attaques liées à "VWorks",ce tableau ne comporte pas les détections sur le port 443 car Suricata ne peut interpréter les transmissions SSL/TLS. 
On remarque aussi en deuxième position les détections correspondant, en général, à des attaques n'ayant pas donné de résultat car le service destinataire a répondu par un message d'erreur : style "Bad request" pour le port 80 ou coupure de la connexion pour un serveur SMTP.

Nombre
 
Description
66272
 
ET EXPLOIT Possible VXWORKS Urgent11 RCE Attempt - Urgent Flag
14520
 
SURICATA Applayer Detect protocol only one direction
7538
 
SURICATA TLS invalid record/traffic
7153
 
SURICATA SMTP invalid reply
2415
 
SMTP no server welcome message
1593
 
SURICATA STREAM reassembly overlap with different data
1590
 
SURICATA Applayer Wrong direction first Data
1301
 
SURICATA SMTP data command rejected
1244
 
WEB acces /.env
1186
 
SURICATA TCP invalid option length
972
 
ET EXPLOIT Possible Dovecot Memory Corruption Inbound (CVE-2019-11500)
944
 
SURICATA HTTP missing Host header
906
 
ET POLICY Observed Cloudflare DNS over HTTPS Domain (cloudflare-dns .com in TLS SNI), celui là est normal ici
834
 
ET DNS Query for .to TLD
775
 
GPL EXPLOIT ntpdx overflow attempt
744
 
SURICATA Applayer Mismatch protocol both directions
717
 
Web attack phpmyadmin
583
 
Web attack /user/login
558
 
GPL DNS zone transfer UDP
498
 
ET POLICY CURL User Agent
484
 
ET POLICY Credit Card Number Detected in Clear (16 digit)
481
 
Web Attack /wp-admin
449
 
ET USER_AGENTS Microsoft Device Metadata Retrieval Client User-Agent
419
 
ET EXPLOIT Possible CVE-2020-11910 anomalous ICMPv4 type 3,code 4 Path MTU Discovery
416
 
SURICATA TCP option invalid length
408
 
ET EXPLOIT Possible CVE-2016-2211 Symantec Cab Parsing Buffer Overflow
407
 
WEB Attack /plugin
399
 
ET POLICY SSLv3 Used in Session
380
 
Web Attack /wp-content
353
 
ET POLICY TLSv1.0 Used in Session

Ce tableau ne tient évidement pas compte de la folie "Log4j" ... qui n'a pas eu chez moi d'énormes répercussions. Suricata a bien epéré quelques tentatives mais pas une invasion.