Rev. cient. sist. inform. 2(2), e363, doi: 10.51252/rcsi.v2i2.363
Artículo original
Original article
Jul-Dic, 2022
https://revistas.unsm.edu.pe/index.php/rcsi
e-ISSN: 2709-992X
Este es un artículo de acceso abierto distribuido bajo los términos de la licencia de atribución de Creative Commons, que permite el uso sin restricciones, distribución y
reproducción en cualquier medio, siempre que se cite debidamente la obra original.
Evaluación de Snort y Suricata para la detección de sondeos
de redes y ataques de denegación de servicio
Evaluation of Snort and Suricata for detection of network probes and denial of
service attacks
Perdigón-Llanes, Rudibel1*
1COPEXTEL S.A. División Pinar del Río: Pinar del Río, Cuba
Recibido: 04 May. 2022 | Aceptado: 22 Jun. 2022 | Publicado: 20 Jul. 2022
Autor de correspondencia*: rperdigon90@gmail.com
Como citar este artículo: Perdigón-Llanes, R. (2022). Evaluación de Snort y Suricata para la detección de sondeos de redes y
ataques de denegación de servicio. Revista Científica de Sistemas e Informática, 2(2), e363.
https://doi.org/10.51252/rcsi.v2i2.363
RESUMEN
Los sistemas de detección de intrusiones constituyen una de las herramientas más utilizadas para identificar
ataques o intrusiones en redes de datos en aras de asegurar la confidencialidad, disponibilidad e integridad de
la información que por ellas se transmite. Debido a la complejidad de su aplicación en los esquemas de
ciberseguridad de las empresas es necesario realizar una evaluación objetiva de estas soluciones con el propósito
de seleccionar la herramienta que mejor se ajuste a los requerimientos de estas organizaciones. El objetivo de la
presente investigación consiste en comparar cuantitativamente el rendimiento de Snort y Suricata para la
detección de sondeos de redes y ataques de denegación de servicio. Se utilizó la herramienta htop para
comprobar el rendimiento de Snort y Suricata ante sondeos de redes y ataques de denegación de servicio
simulados con diferentes aplicaciones de Kali Linux. Se identificó que Snort posee un consumo de CPU inferior a
Suricata durante la detección de intrusiones mediante análisis de firmas, sin embargo, Suri-cata evidenció
mejores índices de efectividad. Los resultados obtenidos contribuyen a la toma de decisiones en relación a la
selección, despliegue e implementación de sistemas de detección de intrusiones en redes de datos empresariales.
Palabras clave: ciberseguridad; pentest; rendimientos; sistemas de detección de intrusiones.
ABSTRACT
Intrusion detection systems are one of the most widely used tools to identify attacks or intrusions in data
networks in order to ensure the confidentiality, availability and integrity of the information transmitted through
them. Due to the complexity of its application in companies' cybersecurity schemes, it is necessary to carry out
an objective evaluation of these solutions in order to select the tool that best suits the requirements of these
organizations. The objective of this research is to quantitatively compare the performance of Snort and Suricata
for the detection of network probes and denial of service attacks. The htop tool was used to test the performance
of Snort and Suricata against network probes and denial of service attacks simulated with different Kali Linux
applications. It was identified that Snort has a lower CPU consumption than Suricata during intrusion detection
through signature analysis, however, Suricata showed better effectiveness rates. The results obtained contribute
to decision making in relation to the selection, deployment and implementation of intrusion detection systems
in business data networks.
Keywords: cybersecurity; pentest; performance; intrusion detection systems
Perdigón-Llanes, R.
2 Rev. cient. sist. inform. 2(2): e363; (jul-dic, 2022). e-ISSN: 2709-992X
1. INTRODUCCIÓN
La aplicación de las tecnologías digitales en los procesos de negocio del sector empresarial mundial denota
marcados beneficios económicos para estas organizaciones (Perdigón Llanes & Pérez Pino, 2020). Sin
embargo, el uso acelerado de las tecnologías digitales ha ocasionado un crecimiento de los ataques
informáticos, los cuales ocupan la octava posición de los fenómenos con mayor impacto económico a nivel
mundial (World Economic Forum, 2020).
Datos de Eset Security para Latinoamérica reflejan que durante 2020 las empresas de la región sufrieron
ataques vinculados fundamentalmente a la infección por malware (34%), ataques de ingeniería social
(20%), acceso indebido a aplicaciones e información (18%) y denegación de servicios (11%) (Eset Security,
2021). Registros de la compañía Fortinet aseveran que durante el primer semestre de 2020 en América
Latina se produjeron más de 15 mil millones de intentos de ciberataques (Fortinet, 2020). Las pérdidas
económicas generadas por estos delitos impactan negativamente en las economías de las organizaciones,
principalmente en las pequeñas y medianas empresas (PYME), que son incapaces de sostener sus negocios
luego de sufrir un ciberataque de envergadura (Bustamante Garcia et al., 2020).
Con el objetivo de minimizar la incidencia de estas transgresiones, las organizaciones emplean diferentes
herramientas digitales para preservar la confidencialidad, disponibilidad e integridad de sus recursos
informáticos (AlYousef & Abdelmajeed, 2019). Los Sistemas de Detección de Intrusiones (IDS, por sus siglas
en inglés) representan una de las soluciones más utilizadas para este propósito porque permiten identificar
acciones y comportamientos malintencionados en una red de computadoras mediante el análisis de los
datos que por ella transitan ((Karim et al., 2017); (Syed Ali Raza Shah, 2018); (Maniriho et al., 2020);
(Perdigón Llanes & Orellana García, 2021). Estos sistemas pueden detectar comportamientos anómalos o
ataques específicos dirigidos a una red o un host en particular (Olia Castellanos & Milton García, 2020).
Según los autores Kumar & Singh (2018) y Arteaga Pucha (2020) los IDS se clasifican según su enfoque de
detección, su comportamiento ante las intrusiones y los tipos de sistemas que monitorean. Maciá-
Fernández et al. (2017) establecen que, en correspondencia con su enfoque de detección los IDS se
clasifican en: IDS de análisis de firmas (S-IDS) y de análisis de anomalías (A-IDS). Los S-IDS comparan el
tráfico de red con firmas de ataques conocidos, por su parte, los A-IDS distinguen patrones de tráfico
malicioso del tráfico normal mediante la aplicación de técnicas de inteligencia artificial (Divekar et al.,
2018); (Arteaga Pucha, 2020); (Maniriho et al., 2020).
En relación a su comportamiento ante las intrusiones, los autores Kumar & Singh (2018) catalogan a los
IDS en pasivos y activos. Los IDS pasivos no realizan acciones de protección por sí mismos, estas soluciones
solo generan alertas dirigidas a operadores y administradores de las TIC durante la detección de
comportamientos anómalos e intrusiones, por su parte, los IDS activos poseen la capacidad de bloquear
automáticamente los comportamientos sospechosos sin necesidad de supervisión o interferencia humana,
proporcionando acciones de corrección en tiempo real ante los ataques (Kumar & Singh, 2018).
En correspondencia con los sistemas que monitorean, los IDS se catalogan en: Sistemas de Detección de
Intrusiones de Red (NIDS, por sus siglas en inglés) y Sistemas de Detección de Intrusiones en el Host (HIDS,
por sus siglas en inglés). Los autores Ashok & Manikrao (2015); Maciá-Fernández et al. (2017); Solarte
Martinez et al. (2017) y Arteaga Pucha (2020) establecen que los NIDS efectúan la detección de tráfico
malicioso en una red fortaleciendo la seguridad de esta y los HIDS contribuyen a elevar la seguridad de un
equipo específico.
Debido a la complejidad del despliegue y aplicación de los IDS en las arquitecturas de ciberseguridad de las
empresas, es necesario realizar una evaluación objetiva de estos sistemas, con el propósito de seleccionar
adecuadamente la solución que mejor se ajuste a los requerimientos de estas organizaciones (Wang et al.,
2013). Aunque los IDS comerciales son reconocidos por su alto desempeño y efectividad, los cos-tos
Perdigón-Llanes, R.
3 Rev. cient. sist. inform. 2(2): e363; (jul-dic, 2022). e-ISSN: 2709-992X
asociados a su implementación en los esquemas de seguridad limitan su utilización en organizaciones como
las PYMES, que carecen de recursos económicos y financieros para adquirir tecnologías de avanzada
(Janampa Patilla et al., 2021). Por tal motivo, estas organizaciones deben adoptar alternativas tecnológicas
confiables y eficientes para minimizar fallas y garantizar el correcto funcionamiento de sus recursos
digitales con ahorro de costos.
Las herramientas de código abierto representan una solución viable para las PYMES porque facilitan el
despliegue de servicios digitales con un aprovechamiento óptimo de los recursos de hardware (Perdigón
& Ramírez, 2020) y (Perdigón-Llanes, 2022). Los autores Perdigón Llanes & Orellana García (2021)
identificaron que Snort y Suricata constituyen los IDS de código abierto más utilizados en la actualidad para
la detección de intrusiones en redes de datos. Sin embargo, en la literatura consultada no se evidenció un
consenso sobre cuál de estas soluciones posee mejores índices de desempeño (Syed Ali Raza Shah, 2018);
(Murphy, 2019); (Bouziani et al., 2019); (Arteaga Pucha, 2020); (Perdigón Llanes & Orellana García, 2021).
Además, según Arteaga Pucha (2020) son escasas las investigaciones orientadas a comparar el rendimiento
de estas herramientas ante ciberataques dirigidos a redes de pequeñas y medianas empresas.
El objetivo de la presente investigación consiste en comparar cuantitativamente el rendimiento de Snort y
Suricata para la detección de ataques de tipo Probing (Sondeo de redes) y DoS (Denegación de Servicios).
Se evaluaron ambas herramientas ante estos tipos de ataques porque según los autores Bouziani et al.
(2019); López-Avila et al. (2020) y Arteaga Pucha (2020) son muy utilizados por los ciberdelincuentes en
la actualidad, fundamentalmente dirigidos a las redes digitales de empresas que brindan sus servicios en
internet.
2. MATERIALES Y MÉTODOS
En esta investigación se utilizaron como métodos científicos el analítico-sintético y el experimental. El
método analítico-sintético posibilitó el análisis de la literatura existente relacionada con los IDS. Para la
búsqueda de información se emplearon las bases de datos Google Scholar y ScienceDirect que son
herramientas gratuitas y abarcan un número considerable de fuentes académicas. El método experimental
se empleó para comprobar el desempeño de los IDS seleccionados mediante la realización de pruebas de
rendimiento.
Las pruebas de rendimiento (benchmark) facilitan la toma de decisiones para la selección de sistemas
digitales basados en un conjunto de parámetros (Perdigón Llanes & Ramírez Alonso, 2020). Estas pruebas
permiten evaluar el funcionamiento de los IDS y determinar si su desempeño se ajusta a los requerimientos
tecnológicos de las organizaciones (Arteaga Pucha, 2020).
El desempeño de los IDS es influenciado en gran medida por las prestaciones de hardware del equipo donde
operan (Siddiqi, 2016); (Karim et al., 2017) y (Caro Moreno, 2020). Con el objetivo de obtener resultados
fiables durante las pruebas benchmark, los autores de la presente investigación instalaron los IDS a evaluar
en ordenadores físicos con similares prestaciones; CPU: core-i3 4160; RAM: 4Gb DDR3; HDD: 500Gb, NIC:
1Gbit/s modelo TP-LINK TG-3269 y Ubuntu Server 20.04 como sistema operativo. La tarjeta de red en estos
equipos fue configurada en modo promiscuo y se deshabilitaron sus mecanismos de segmentación (offload)
para evitar el rechazo de paquetes de red. La Figura 1 describe el entorno donde se desarrollaron las
pruebas.
Perdigón-Llanes, R.
4 Rev. cient. sist. inform. 2(2): e363; (jul-dic, 2022). e-ISSN: 2709-992X
Figura 1. Entorno de pruebas
La generación de tráfico de red malicioso se realizó mediante la distribución Kali Linux que constituye una
solución ampliamente empleada para pruebas de penetración y contiene las herramientas nmap y hping3.
Se dispuso un equipo con Metasploitable 2 para simular el rol de un servidor empresarial que provee
servicios web, base de datos y compartición de ficheros. Este equipo constituyó el objetivo de los ataques
y pruebas de penetración realizadas. Snort y Suricata operan con similares bases de firmas, por tal motivo,
estas fueron descargadas en la misma fecha para garantizar similares condiciones de detección durante las
pruebas benchmark. Se utilizaron las bases de firmas Emerging Threats del 6 de enero de 2022 que son de
libre acceso y se encuentran disponibles en internet.
La diversidad de servicios y aplicaciones digitales que utilizan las empresas incrementan
significativamente el tráfico de datos en sus redes informáticas (Syed Ali Raza Shah, 2018). Para simular el
tráfico de una red empresarial y comprobar el rendimiento de los IDS seleccionados, los autores de este
trabajo se apoyaron en los criterios de (Karim et al., 2017), mediante el uso de la herramienta Ostinato.
Según Karim et al. (2017), el tráfico de una red con grandes flujos de datos puede simularse combinando la
cantidad de paquetes enviados, sus dimensiones e intervalos de tiempo entre cada envío. En
correspondencia con los criterios de (Karim et al., 2017), en esta investigación se realizó el envío de 10000
paquetes de red de 128 y 3072 bytes respectivamente, cada 1 segundo mediante el protocolo TCP para
simular el tráfico de una red empresarial.
3. RESULTADOS Y DISCUSIÓN
Los autores Murphy (2019) y Aludhilu & Rodríguez-Puente (2020) consideran que la eficiencia y
efectividad de los IDS constituyen aspectos relevantes para su evaluación. Estas características se
relacionan respectivamente, con su consumo de recursos de hardware y con su capacidad para identificar
comportamientos maliciosos y actividades de intrusión (Murphy, 2019) y (Aludhilu & Rodríguez-Puente,
2020). Para determinar la eficiencia de los IDS analizados se empleó la herramienta htop y para comprobar
su efectividad se simularon pruebas de intrusión mediante la distribución Kali Linux. Con el propósito de
generar tráfico de red para simular el ambiente de una red empresarial se utilizó la herramienta Ostinato
Perdigón-Llanes, R.
5 Rev. cient. sist. inform. 2(2): e363; (jul-dic, 2022). e-ISSN: 2709-992X
0.9. Se seleccionaron las últimas versiones estables disponibles de Snort y Suricata hasta la fecha en que se
realizó este estudio: Snort 2.9.18.1 y Suricata 6.0.4.
Según los criterios de Aludhilu & Rodríguez-Puente (2020) los IDS son efectivos si arrojan bajos índices de
falsas alarmas. Los autores Bijone (2016) y Syed Ali Raza Shah (2018) consideran que las tasas de falsos
positivos (FPR, por sus siglas en inglés), tasas de falsos negativos (FNR, por sus siglas en inglés) y tasas de
verdaderos posi-tivos (TPR, por sus siglas en inglés) constituyen indicadores fiables para medir la
efectividad de los IDS. Según estos autores, FPR: denota la probabilidad de que un IDS emita una alerta
cuando no existe intrusión, FNR: representa la probabilidad de que un IDS no emita una alerta cuando sí
existe una intrusión y TPR: determina la probabilidad de que un IDS emita una alerta ante una intrusión.
Estos indicadores se determinan según las siguientes fórmulas (Bijone, 2016); (Syed Ali Raza Shah, 2018);
(Kumar & Singh, 2018):
FPR = FP / (FP + TN) * 100 (1)
FNR = FN / (FN + TP) * 100 (2)
TPR = TP / (TP + FN) * 100 (3)
Donde:
Verdadero negativo (TN, por sus siglas en inglés): El tráfico de red inofensivo es identificado como tal por
el IDS.
Verdadero positivo (TP, por sus siglas en inglés): El tráfico de red malicioso es identificado como tal por el
IDS.
Falso positivo (FP, por sus siglas en inglés): El tráfico de red inofensivo es identificado como tráfico
malicioso por el IDS.
Falso negativo (FN, por sus siglas en inglés): El tráfico de red malicioso es identificado como como tráfico
de red inofensivo por el IDS.
Se comprobó en un primer momento la efectividad de los IDS para manejar el tráfico de red inofensivo.
Posteriormente y de forma simultánea al tráfico de red inofensivo, fue generado secuencialmente el tráfico
de red malicioso mediante las herramientas nmap y hping3. El empleo de estas herramientas permitió
simular ataques de tipo sondeo de redes y DoS. Se generaron ataques DoS de tipo SYN Flood, UDP Flood y
PING Flood y se utilizó la opción randsource para evadir los IDS utilizados.
Se identificó que ambas soluciones fueron incapaces de detectar los ataques DoS SYN Flood y UDP Flood
simulados, por lo que se crearon 2 reglas personalizadas para identificar este tipo de transgresiones. Las
reglas creadas se estructuraron según las especificaciones realizadas por Janampa Patilla et al. (2021) para
estos tipos de ataques:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (flags: S; msg: "Posible ataque DoS SYN flood detectado";
flow: to_server; detection_filter: track by_src, count 50, seconds 1; sid:10000004; rev:001;)
alert udp $EXTERNAL_NET any -> $HOME_NET any (msg: "Posible ataque DoS UDP flood detectado";
detection_filter: track by_src, count 50, seconds 1; sid:10000005; rev:001;)
La Tabla 1 muestra la efectividad de los IDS analizados según los indicadores descritos en las fórmulas 1, 2
y 3 respectivamente.
Perdigón-Llanes, R.
6 Rev. cient. sist. inform. 2(2): e363; (jul-dic, 2022). e-ISSN: 2709-992X
Tabla 1. Efectividad de Snort y Suricata ante sondeos de red y ataques DoS
Tráfico de red
legítimo
generado
Tráfico de red malicioso
generado
Snort
Suricata
FNR
TPR
FPR
FNR
TPR
Tráfico de
paquetes de 128
bytes
0
0
0
0
0
Tráfico de
paquetes de
3072 bytes
0
0
0
0
0
Tráfico de
paquetes de 128
bytes
nmap -sS -p- ip_Metasploitable
99,98
0,02
0
99,96
0,04
SYN Flood: hping3 --rand-
source -c 1000
ip_Metasploitable -p 80 --faster
1
99
0
1
99
UDP Flood: hping3 --rand-
source -c 1000 --udp
ip_Metasploitable -p 53 --faster
97,9
2,1
0,005
0
100
PING Flood: hping3 --rand-
source -c 1000 --icmp
ip_Metasploitable --faster
0
100
0
0
100
Tráfico de
paquetes de
3072 bytes
nmap -sS -p- ip_Metasploitable
99,98
0,02
0
99,98
0,02
SYN Flood: hping3 --rand-
source -c 1000
ip_Metasploitable -p 80 --faster
22,1
77,9
0,0048
0
100
UDP Flood: hping3 --rand-
source -c 1000 --udp
ip_Metasploitable -p 53 --faster
35,5
64,5
0,0168
0
100
PING Flood: hping3 --rand-
source -c 1000 --icmp
ip_Metasploitable --faster
19,0
81,0
0
46,4
53,6
Ambos IDS mostraron tasas de detección inefectivas ante los ataques Probing generados con nmap. Se
identificó que Snort no arrojó falsos positivos durante las pruebas de penetración realizadas, sin embargo,
demostró elevadas tasas de falsos negativos (FNR), elemento que incide negativamente en la seguridad de
la red. De forma general Suricata evidenció índices de efectividad superiores a Snort para la detección de
intrusiones en el ambiente de pruebas utilizado.
Durante el período de tiempo que demoraron las pruebas realizadas se monitoreó la carga de CPU y el uso
de memoria RAM de ambos IDS. Las Figuras 2 y 3 muestran respectivamente, los resultados obtenidos.
Figura 2. Consumo de CPU