Así puedes geolocalizar las direcciones IP de los ataques en tiempo real

Cuando estamos ante un ataque de denegación de servicio, o nos están intentando atacar diferentes servicios como web, ssh o ftp, es muy útil saber la geolocalización de las direcciones IP de origen, ya que de esta forma, no solo sabremos de donde provienen sino que podremos bloquear incluso el país entero. La herramienta Cyber Security GeoIP Attack Map, nos permitirá geolocalizar en tiempo real las direcciones IP de origen de los atacantes que intenten tirar nuestro servidor. Esta herramienta contiene un módulo que monitoriza el archivo syslog de nuestro servidor Linux, y lo analiza continuamente para poder visualizar de manera gráfica tanto la dirección IP de origen, IP de destino (que normalmente seremos nosotros o un servidor bajo nuestro firewall), puerto de origen y también puerto de destino. Cyber Security GeoIP Attack Map nos proporciona varios colores en los gráficos dependiendo del protocolo utilizado en el ataque.

En el siguiente video puedes ver en detalle cómo es el aspecto gráfico que nos proporciona esta herramienta para sistemas Linux:

Si por ejemplo estamos utilizando una máquina SIEM para recoger toda la información de seguridad y gestión de eventos, podremos usar dicha máquina para normalizar los registros y posteriormente enviarlo a otra máquina con syslog donde se ejecutará Cyber Security GeoIP Attack Map.

Puedes visitar la página web oficial del proyecto Cyber Security GeoIP Attack Map en GitHub donde encontrarás todos los detalles, sobre cómo se puede configurar la herramienta y todo el software necesario para su correcto funcionamiento.

Fuente: redeszone