{"id":579,"date":"2025-01-13T22:55:13","date_gmt":"2025-01-13T22:55:13","guid":{"rendered":"https:\/\/www.gdata.com.mx\/blog\/?p=579"},"modified":"2026-05-07T00:53:06","modified_gmt":"2026-05-07T00:53:06","slug":"trafico-de-suricata-y-c2-las-buenas-reglas-son-un-arte-en-si-mismas","status":"publish","type":"post","link":"https:\/\/www.gdata.com.mx\/blog\/trafico-de-suricata-y-c2-las-buenas-reglas-son-un-arte-en-si-mismas\/","title":{"rendered":"Tr\u00e1fico de Suricata y C2: Las Buenas Reglas Son Un Arte en s\u00ed Mismas"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Hacer visible la informaci\u00f3n y reconocer patrones en ella es el eje en la defensa de una red. Existen numerosas soluciones en el mercado para este fin, incluidos los sistemas IDS (Sistemas de Detecci\u00f3n de Intrusos).<\/p>\n\n\n\n

\n\n\n\n

Reconocer los ataques en curso y saber si alguien ha logrado penetrar en la red es la tarea de un IDS. El rango de precios de un IDS es amplio y, si lo desea, incluso puede utilizar una soluci\u00f3n gratuita de c\u00f3digo abierto como Suricata. La ventaja es evidente: no hay costes de adquisici\u00f3n. Otra ventaja es que los administradores pueden adaptar sus conjuntos de reglas y, por lo tanto, adaptarlos exactamente a sus necesidades. La desventaja: los administradores tienen que escribir sus conjuntos de reglas ellos mismos.<\/p>\n\n\n\n

Datos relevantes, reglas ca\u00f3ticas<\/strong><\/p>\n\n\n\n

Ciertas actividades t\u00edpicas del malware son de particular inter\u00e9s para la defensa, especialmente la comunicaci\u00f3n del malware con una infraestructura de comando (Command & Control, tambi\u00e9n conocida como \u00abC2\u00bb), de la que recibe sus comandos.<\/p>\n\n\n\n

Sin embargo, cualquiera que busque reglas listas para esto debe enfrentarse r\u00e1pidamente a una seria comprensi\u00f3n: las reglas est\u00e1ndar a menudo no son uniformes y contienen diferentes palabras clave. Orientarse por aqu\u00ed puede llevar tiempo.<\/p>\n\n\n\n

Detr\u00e1s de esto hay una carga de trabajo que no debe subestimarse, porque no todo lo que a primera vista parece un buen punto de partida para una nueva regla lo es. No solo es importante filtrar y preparar los datos, sino tambi\u00e9n mantener la salida lo m\u00e1s baja posible. La raz\u00f3n de esto es simple: las reglas mal creadas producen mucho \u00abruido\u00bb en los datos. Y este ruido enmascara potencialmente la informaci\u00f3n realmente importante o al menos distrae de ella.<\/p>\n\n\n\n

<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Otras herramientas, como Wireshark, pueden hacer una valiosa contribuci\u00f3n a la creaci\u00f3n de reglas de IDS efectivas.<\/p>\n\n\n\n

Supresi\u00f3n de ruido<\/strong><\/p>\n\n\n\n

Esto debe evitarse. Por lo tanto, es importante dise\u00f1ar las reglas para un IDS de tal manera que los protocolos y mensajes conserven su valor informativo. Los criterios para una regla deben seleccionarse cuidadosamente. Para ello no s\u00f3lo son importantes los puertos y protocolos, sino tambi\u00e9n el contenido de los paquetes de datos transmitidos.

No hay forma de evitar otras herramientas como Wireshark para afinar y refinar a\u00fan m\u00e1s una regla. \u00abWireshark no duele\u00bb, dice Andreas Barttels.
Ha arrojado luz sobre el tema en su art\u00edculo \u00abDetecci\u00f3n de tr\u00e1fico de comando y control usando Suricata\u00bb<\/strong> y llega a una conclusi\u00f3n importante:
no todo lo que parece llamativo a primera vista tambi\u00e9n es adecuado como criterio para una regla IDS.<\/p>\n\n\n\n

Andreas Barttels arroja luz sobre c\u00f3mo es una buena regla de IDS, d\u00f3nde acechan las trampas y c\u00f3mo Wireshark puede ayudar en su art\u00edculo de blog sobre cyber.wtf<\/a> (art\u00edculo en ingl\u00e9s; El enlace se abre en una ventana nueva).<\/p>\n\n\n\n

Enlace: Detectar tr\u00e1fico sospechoso con Suricata: No es tan f\u00e1cil<\/a> Blog de G DATA Tim Berghoff<\/p>\n","protected":false},"excerpt":{"rendered":"

\"\"<\/p>\n

Hacer visible la informaci\u00f3n y reconocer patrones en ella es el eje en la defensa de una red. Existen numerosas soluciones en el mercado para este fin, incluidos los sistemas IDS (Sistemas de Detecci\u00f3n de Intrusos).<\/p>\n

Reconocer los ataques en curso y saber si alguien ha logrado penetrar en la red es la tarea de un IDS. El rango de precios de un IDS es amplio y, si lo desea, incluso puede utilizar una soluci\u00f3n gratuita de c\u00f3digo abierto como Suricata.<\/p>\n","protected":false},"author":1,"featured_media":580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8],"tags":[],"class_list":["post-579","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"jetpack_featured_media_url":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2025\/01\/suricata.jpg","featured_image_src":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2025\/01\/suricata-150x150.jpg","_links":{"self":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/comments?post=579"}],"version-history":[{"count":1,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/579\/revisions"}],"predecessor-version":[{"id":582,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/579\/revisions\/582"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media\/580"}],"wp:attachment":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media?parent=579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/categories?post=579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/tags?post=579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}