Cuando estamos ante un ataque de denegación de servicio, o nos están intentando atacar diferentes servicios como web, ssh o ftp, es muy útil saber la geolocalización de las direcciones IP de origen, ya que de esta forma, no solo sabremos de donde provienen sino que podremos bloquear incluso el país entero.
La herramienta Cyber Security GeoIP Attack Map, nos permitirá geolocalizar en tiempo real las direcciones IP de origen de los atacantes que intenten tirar nuestro servidor. Esta herramienta contiene un módulo que monitoriza el archivo syslog de nuestro servidor Linux, y lo analiza continuamente para poder visualizar de manera gráfica tanto la dirección IP de origen, IP de destino (que normalmente seremos nosotros o un servidor bajo nuestro firewall), puerto de origen y también puerto de destino. Cyber Security GeoIP Attack Map nos proporciona varios colores en los gráficos dependiendo del protocolo utilizado en el ataque.
En el siguiente video podrás ver en detalle cómo es el aspecto gráfico que nos proporciona esta herramienta para sistemas Linux ante un ataque cibernético:
Si por ejemplo estamos utilizando una máquina SIEM (Información de Seguridad y Administración de Eventos) para recoger toda la información de seguridad y gestión de eventos, podremos usar dicha máquina para normalizar los registros y posteriormente enviarlo a otra máquina con syslog donde se ejecutará Cyber Security GeoIP Attack Map.
Te recomendamos visitar la página web oficial del proyecto Cyber Security GeoIP Attack Map en GitHub donde encontraras todos los detalles, el software es de uso libre con atribución y podrás encontrar la información sobre cómo se puede configurar la herramienta y todo el software necesario para su correcto funcionamiento.
Fuente: http://www.redeszone.net/
{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}