FTP root 로그인 탐지
alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root"; content:"USER root"; nocase; sid:1000025;)
--> tcp 프로토콜을 이용하고 21번 포트를 목적지로 하고 있어 FTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위한 것
Telnet root 로그인 탐지
alert tcp 10.10.10.0/24 23 -> any any (msg: "Telnet root"; content:"login"; pcre:"/root@.*#/"; nocase; sid:1000025;)
--> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함([root@Fedoraall ~]#)
--> root@ 문자열 다음에 임의의 문자(.)가 0개 이상(*) 포함되어 있고, 그 다음에 #을 포함하는 문자열 검사
telnet 로그인 Brute force/Dictionary Attack 탐지
alert tcp 10.10.10.0/24 23 -> any any (msg: "Telnet brute force Attack"; content:"Login incorrect"; nocase; threshold:type limt, track by_dst, count 1, seconds 5; sid:1000025;)
--> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함
--> 목적지 주소(by_dst)기준으로 매 5초 동안 1번째 이벤트까지만 alert 액션 수행
FTP 로그인 Brute force/Dictionary Attack 탐지
alert tcp 10.10.10.0/24 21 -> any any (msg: "FTP brute force Attack"; content:"Login incorrect"; nocase; threshold:type threshold, track by_dst, count 5, seconds 30; sid:1000025;)
--> tcp 프로토콜을 이용하고 21번 포트를 출발지로 하고 있음. FTP서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함
--> 목적지 주소(by_dst)기준으로 매 30초 동안 5번째 이벤트마다 alert 액션 수행
SSH 로그인 Brute force/Dictionary Attack 탐지
alert tcp any any -> 10.10.10.0/24 22 (msg: "SSH brute force Attack"; content:"SSH-2.0"; nocase; threshold:type both, track by_src, count 5, seconds 30; sid:1000025;)
--> tcp 프로토콜을 이용하고 22번 포트를 목적지로 하고 있음. SSH클라이언트부터 요청 데이터에 포함되는 문자열을 탐지하기 위함
--> 출발지 주소(by_src)기준으로 매 30초 동안 5번째 이벤트 발생 시 한번 alert 수행
'정보보안기사&CISSP관련 > 보안장비 운영' 카테고리의 다른 글
[Day 107] iptables (1) (0) | 2020.11.25 |
---|---|
[Day 106] snort rule(5) - Flooding 계열 공격 탐지 (0) | 2020.11.24 |
[Day 105] snort rule(4) - 비정상 패킷 탐지 (0) | 2020.11.23 |
[Day 103] snort rule(2) - body 설정 (0) | 2020.11.21 |
[Day 102] snort rule(1) - header 설정 (0) | 2020.11.20 |