정보보안기사&CISSP관련172 [Day 105] snort rule(4) - 비정상 패킷 탐지 비정상 패킷 프로토콜 표준에 위배되는 패킷 비정상패킷을 공격에 사용하는 이유 비정상적인 패킷을 제대로 처리하지 못하는 구형 IDS,IPS,Firewall을 우회하기 위한 목적 시스템이 비정상적인 패킷을 제대로 처리하지 못하도록 하여 장애나 오류 발생하도록 하기 위한 목적 비정상 IP 패킷 탐지 1. 인터넷 구간의 사설 IP alert udp 10.0.0.0/8 any -> $HOME_NET any (msg: "Private IP(10.)"; sid:1000025;) alert udp 172.16.0.0/12 any -> $HOME_NET any (msg: "Private IP(172.)"; sid:1000025;) alert udp 172.16.0.0/12 any -> $HOME_NET any (msg:.. 2020. 11. 23. [Day 104] snort rule(3) - 공격 탐지 FTP root 로그인 탐지 alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root"; content:"USER root"; nocase; sid:1000025;) --> tcp 프로토콜을 이용하고 21번 포트를 목적지로 하고 있어 FTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위한 것 Telnet root 로그인 탐지 alert tcp 10.10.10.0/24 23 -> any any (msg: "Telnet root"; content:"login"; pcre:"/root@.*#/"; nocase; sid:1000025;) --> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열.. 2020. 11. 22. [Day 103] snort rule(2) - body 설정 snort rule body 설정 : 일반 옵션 msg alert 발생 시 이벤트 이름으로 사용됨 reference 룰과 관련된 외부 취약점 정보 sid snort rule id로 사용 범위는 아래와 같음 99이하 : 시스템 예약 sid 100~1,000,000 : snort에서 배포하는 룰셋 sid 1,000,001 이상 : 사용자 정의 룰에서 사용하는 sid classtype 공격유형과 기본 우선순위 정의 priority 룰 우선순위(숫자) rev rule 버전번호로 수정(revision) 횟수 표기 snort rule body 설정 : 범위 옵션 content 페이로드에서 검사할 문자열을 text, binary 형식으로 지정 1) text 형식 : content:"pattertn" -> 해당 패턴 .. 2020. 11. 21. [Day 102] snort rule(1) - header 설정 개요 snort(스노트)는 네트워크 침입 차단/탐지 시스템 주요 기능 : 패킷 스니퍼, 패킷 로거(저장하고 로그남김), 네트워크 IDS/IPS snort rule(또는 signature)은 크게 header 부분과 body 부분으로 구성됨 header 부분 : 처리방식, 프로토콜, IP, Port 등 처리할 패킷을 판단하는 기준 명시 body 부분 : 패킷을 탐지하기 위한 규칙 명시 rule header 형식 Rule Action 패킷이 탐지되었을때(룰에 매치되었을때) 처리방식으로 총 8가지 유형이 있음 Protocol 탐지할 프로토콜로 4가지 지원 - TCP, UDP, ICMP, IP IP Address 출발지/목적지 IP 1) IP리스트는 대괄호로 표시 - [192.168.1.1, 211.45.65... 2020. 11. 20. 이전 1 ··· 22 23 24 25 26 27 28 ··· 43 다음