FTP 일반 사용자 계정 접속 상태
kali
$ ftp ubuntu_ipName : user 이름
ubuntu
$ snort -A console -q -u snort -g snort -c /etc/snort/snort.confFTP 익명 사용자 계정 접속 상태
kali
$ ftp ubuntu_ipName : anonymous
ubuntu
$ snort -A console -q -u snort -g snort -c /etc/snort/snort.confFTP root 사용자 계정 접속 상태
kali
$ ftp ubuntu_ipName : root
ubuntu
$ snort -A console -q -u snort -g snort -c /etc/snort/snort.conf계정별 접속 결과
정상적인 FTP에 대해 탐지하지 않음
이 룰셋으로는 root 접속에 대한 탐지 불가 --> 페이로드의 문자열/헥사코드 검색해야 함
FTP root 사용자 계정 접속 상태
root 접속에 대한 탐지 불가 문제 수정
ubuntu
$ alert tcp any any -> ubuntu_ip 21 (msg: "FTP root user"; content: "USER root"; nocase; sid:1000001;)kali
$ ftp ubuntu_ipubuntu
$ snort -A console -q -u snort -g snort -c /etc/snort/snort.conf