본문 바로가기
정보보안기사&CISSP관련/보안장비 운영

[Day 106] snort rule(5) - Flooding 계열 공격 탐지

by minimalist_2022 2020. 11. 24.

HTTP GET Flooding 공격 탐지

alert tcp any any -> 10.10.10.0/24 80 (msg: "HTTP GET Flooding "; content:"GET / HTTP/1."; nocase; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000025;)

--> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위함
--> 출발지 주소(by_src)기준으로 매 1초 동안 100번째 이벤트마다 alert 수행

 

TCP SYN Flooding 공격 탐지

alert tcp any any -> 10.10.10.0/24 80 (msg: "TCP SYN Flooding"; flags:S; nocase; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)

--> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터를 탐지하기 위함이며, flags 옵션을 통해 SYN 플래그를 검사
--> 출발지 주소(by_src)기준으로 매 1초 동안 5번째 이벤트마다 alert 수행

 

UDP/ICMP Flooding 공격 탐지

alert udp any any -> $HOME_NET any (msg: "UDP Flooding"; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)

alert icmp any any -> $HOME_NET any (msg: "ICMP Flooding"; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)

--> UDP, ICMP 프로토콜을 이용한 모든 요청에 대해 임계치 기반 탐지 수행
--> 출발지 주소(by_src)기준으로 매 1초 동안 5번째 이벤트마다 alert 수행