HTTP GET Flooding 공격 탐지
alert tcp any any -> 10.10.10.0/24 80 (msg: "HTTP GET Flooding "; content:"GET / HTTP/1."; nocase; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000025;)
--> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위함
--> 출발지 주소(by_src)기준으로 매 1초 동안 100번째 이벤트마다 alert 수행
TCP SYN Flooding 공격 탐지
alert tcp any any -> 10.10.10.0/24 80 (msg: "TCP SYN Flooding"; flags:S; nocase; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)
--> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터를 탐지하기 위함이며, flags 옵션을 통해 SYN 플래그를 검사
--> 출발지 주소(by_src)기준으로 매 1초 동안 5번째 이벤트마다 alert 수행
UDP/ICMP Flooding 공격 탐지
alert udp any any -> $HOME_NET any (msg: "UDP Flooding"; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)
alert icmp any any -> $HOME_NET any (msg: "ICMP Flooding"; threshold:type threshold, track by_src, count 5, seconds 1; sid:1000025;)
--> UDP, ICMP 프로토콜을 이용한 모든 요청에 대해 임계치 기반 탐지 수행
--> 출발지 주소(by_src)기준으로 매 1초 동안 5번째 이벤트마다 alert 수행
'정보보안기사&CISSP관련 > 보안장비 운영' 카테고리의 다른 글
[Day 108] iptables (2) - 상태 추적, 확장 모듈(connlimit, limit) (0) | 2020.11.26 |
---|---|
[Day 107] iptables (1) (0) | 2020.11.25 |
[Day 105] snort rule(4) - 비정상 패킷 탐지 (0) | 2020.11.23 |
[Day 104] snort rule(3) - 공격 탐지 (0) | 2020.11.22 |
[Day 103] snort rule(2) - body 설정 (0) | 2020.11.21 |