FIN Scan, Xmas Scan, Null Scan

TCP 플래그

URG(Urgent) : 긴급 데이터
ACK(Acknowledgement) : 응답
PSH(Push) : 밀어넣기
RST(Reset) : 재연결 종료
SYN(Syncronization) : 연결 요청
FIN(Finish) : 연결 종료 요청

FIN Scan

ubuntu

$ alert tcp any any -> ubuntu_ip any (msg: "Detect FIN"; flags: F, content: "SSH"; nocase; sid:1000001;)

kali

nmap ubuntu_ip -p 22 -sF

ubuntu

$ snort -A console -q -u snort -g snort -u /etc/snort/snort.conf
$ wireshark

- wireshark로 FIN flag 확인하기

Xmas Scan

ubuntu

$ alert tcp any any -> ubuntu_ip any (msg: "Detect Xmas"; flags: UPF; sid:1000001;)

kali

$ nmap ubuntu_ip -p 22 -sX

ubuntu

$ snort -A console -q -u snort -g snort -c /etc/snort/snort.conf
$ wireshark

- wireshark로 URG, PSH, FIN flag 확인하기

Null Scan

ubuntu

$ alert tcp any any -> ubuntu_ip 22 (msg: "Detect Null"; flags: !UAPRSF; sid:1000001;)

kali

$ nmap ubuntu_ip -p 22 -sN

ubuntu

$ snort -A console -q -u snort -g snort -c /etc/snort/snort.conf
$ wireshark

- wireshark로 None flag 확인하기