본문 바로가기

스노트5

[Day 106] snort rule(5) - Flooding 계열 공격 탐지 HTTP GET Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: "HTTP GET Flooding "; content:"GET / HTTP/1."; nocase; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000025;) --> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위함 --> 출발지 주소(by_src)기준으로 매 1초 동안 100번째 이벤트마다 alert 수행 TCP SYN Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: ".. 2020. 11. 24.
[Day 105] snort rule(4) - 비정상 패킷 탐지 비정상 패킷 프로토콜 표준에 위배되는 패킷 비정상패킷을 공격에 사용하는 이유 비정상적인 패킷을 제대로 처리하지 못하는 구형 IDS,IPS,Firewall을 우회하기 위한 목적 시스템이 비정상적인 패킷을 제대로 처리하지 못하도록 하여 장애나 오류 발생하도록 하기 위한 목적 비정상 IP 패킷 탐지 1. 인터넷 구간의 사설 IP alert udp 10.0.0.0/8 any -> $HOME_NET any (msg: "Private IP(10.)"; sid:1000025;) alert udp 172.16.0.0/12 any -> $HOME_NET any (msg: "Private IP(172.)"; sid:1000025;) alert udp 172.16.0.0/12 any -> $HOME_NET any (msg:.. 2020. 11. 23.
[Day 104] snort rule(3) - 공격 탐지 FTP root 로그인 탐지 alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root"; content:"USER root"; nocase; sid:1000025;) --> tcp 프로토콜을 이용하고 21번 포트를 목적지로 하고 있어 FTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위한 것 Telnet root 로그인 탐지 alert tcp 10.10.10.0/24 23 -> any any (msg: "Telnet root"; content:"login"; pcre:"/root@.*#/"; nocase; sid:1000025;) --> tcp 프로토콜을 이용하고 23번 포트를 출발지로 하고 있음. telnet 서버로부터 응답 데이터에 포함되는 문자열.. 2020. 11. 22.
[Day 103] snort rule(2) - body 설정 snort rule body 설정 : 일반 옵션 msg alert 발생 시 이벤트 이름으로 사용됨 reference 룰과 관련된 외부 취약점 정보 sid snort rule id로 사용 범위는 아래와 같음 99이하 : 시스템 예약 sid 100~1,000,000 : snort에서 배포하는 룰셋 sid 1,000,001 이상 : 사용자 정의 룰에서 사용하는 sid classtype 공격유형과 기본 우선순위 정의 priority 룰 우선순위(숫자) rev rule 버전번호로 수정(revision) 횟수 표기 snort rule body 설정 : 범위 옵션 content 페이로드에서 검사할 문자열을 text, binary 형식으로 지정 1) text 형식 : content:"pattertn" -> 해당 패턴 .. 2020. 11. 21.