본문 바로가기
정보보안기사&CISSP관련/보안장비 운영

[Day 104] snort rule(3) - 공격 탐지

by minimalist_2022 2020. 11. 22.

FTP root 로그인 탐지

alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root"; content:"USER root"; nocase; sid:1000025;)

--> tcp 프로토콜을 이용하고 21번 포트를 목적지로 하고 있어 FTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위한 것

 

Telnet root 로그인 탐지 

alert tcp 10.10.10.0/24 23 -> any any (msg: "Telnet root"; content:"login"; pcre:"/root@.*#/"; nocase; sid:1000025;)

--> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함([root@Fedoraall ~]#)

--> root@ 문자열 다음에 임의의 문자(.)가 0개 이상(*) 포함되어 있고, 그 다음에 #을 포함하는 문자열 검사

 

telnet 로그인 Brute force/Dictionary Attack 탐지

alert tcp 10.10.10.0/24 23 -> any any  (msg: "Telnet brute force Attack"; content:"Login incorrect"; nocase; threshold:type limt, track by_dst, count 1, seconds 5; sid:1000025;)

--> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함
--> 목적지 주소(by_dst)기준으로 매 5초 동안 1번째 이벤트까지만 alert 액션 수행

 

FTP 로그인 Brute force/Dictionary Attack 탐지

alert tcp 10.10.10.0/24 21 -> any any  (msg: "FTP brute force Attack"; content:"Login incorrect"; nocase; threshold:type threshold, track by_dst, count 5, seconds 30; sid:1000025;)

--> tcp 프로토콜을 이용하고 21번 포트를 출발지로 하고 있음. FTP서버로부터 응답 데이터에 포함되는 문자열을 탐지하기 위함
--> 목적지 주소(by_dst)기준으로 매 30초 동안 5번째 이벤트마다 alert 액션 수행

 

SSH 로그인 Brute force/Dictionary Attack 탐지

alert tcp any any -> 10.10.10.0/24 22 (msg: "SSH brute force Attack"; content:"SSH-2.0"; nocase; threshold:type both, track by_src, count 5, seconds 30; sid:1000025;)

--> tcp 프로토콜을 이용하고 22번 포트를 목적지로 하고 있음. SSH클라이언트부터 요청 데이터에 포함되는 문자열을 탐지하기 위함
--> 출발지 주소(by_src)기준으로 매 30초 동안 5번째 이벤트 발생 시 한번 alert 수행