snort

Snort의 구조 sniffer --> preprocessor --> detection engine --> alert/logging Snort 버전 확인하기 Snort 구동하기 Snort rule 확인하기 Snort 설정 파일 확인하기

Snort 구동 확인하기 1 Ubuntu Kali Linux ICMP source 위조하기 Ubuntu snort 구동하기 Snort 구동 확인하기 2 Ubuntu Kali Linux icmp source 위조하기 Ubuntu snort 구동하기

Snort rule 구성 Header : Action, Protocol, Source&Destination(IP, subnet, port) Snort rule Header - Action alert : 설정대로 사용자에게 경보 발생, 해당 패킷을 로그로 저장 log : 경보 발생하지 않고, 해당 패킷을 로그로 저장 pass : 해당 패킷 무시 Snor...

Num 1 HTTP_Ports로 정의된 포트로부터 1024번 이상 포트로 나가는 패킷에 대해 "version" 패턴과 일치하는 곳 기점 1,000byte 내에 "location" 패턴 나오면 msg에 정의된 내용으로 경보 발생 Num 2 5555

root 로그인 탐지 ftp root 로그인 ftp 접속 시 USER 명령을 통해 ID 전달 Telnet root 로그인 Telnet 접속 시 로그인 성공 메시지, shell로 평문 전달 정규 표현식 : root@로 시작, 임의의 문자가 0회 이상 나타난 후 #을 포함하는 문자열 검사 패스워드 크래킹 탐지 Telnet Brute Force...

Num 1 ubuntu 출발지 IP 주소가 A클래스 사설 IP 주소인 패킷 탐지 가능 kali 출발지 위장 ubuntu snort 탐지 Num 2 ubuntu 출발지 IP 주소가 B클래스 사설 IP 주소인 패킷 탐지 가능 kali 출발지 IP 위장 ubuntu snort 탐지

Num 1 ubuntu kali ubuntu Num 2 ubuntu kali ubuntu Num 3 ubuntu kali ubuntu

Num 1 ubuntu kali 많은 양의 ICMP 패킷 전송 ubuntu Num 2 ubuntu dsize:>5000 : 패킷의 크기가 5,000byte 초과하는 경우 탐지

포트 스캔(Open Scan) ubuntu kali ubuntu 포트 스캔(Half-Open Scan) ububtu kali

기존 snort rule 문제점 정상 접속, 포트 스캔 접속 구분 불가 문제점 고려하여 rule 수정하기 1 ubuntu kali 포트 스캔 ububtu 문제점 고려하여 rule 수정하기 2 ubuntu kali ububtu

TCP 플래그 URG(Urgent) : 긴급 데이터 ACK(Acknowledgement) : 응답 PSH(Push) : 밀어넣기 RST(Reset) : 재연결 종료 SYN(Syncronization) : 연결 요청 FIN(Finish) : 연결 종료 요청 FIN Scan ubuntu kali ubuntu wireshark로 FIN flag 확인하기...

threshold: type threshold 사용 ubuntu kali ubuntu

threshold: type limit ubuntu kali ubuntu threshold: type threshold ubuntu kali ubuntu threshold: type both ubuntu kali ubuntu TCP SYN Flooding Attack ubuntu kali ubuntu

응용 서비스 상태 확인하기 kali 21번-23번 포트 열려있는지 확인하기 사전 정보 작성하기 kali

칼리 ubuntu ip.addr == ubuntu_ip && tcp로 FTP 연결 상태 확인하기

kali ubuntu ip.addr == ubuntu_ip && tcp로 SSH 연결 상태 확인하기 SSH의 특징 : Key Exchange Init, Encrypted packet

ubuntu kali ubuntu

kali ubuntu ip.addr == ubuntu_ip && tcp로 Telnet 연결 상태 확인하기

ubuntu kali ubuntu

ubuntu kali ubuntu

FTP 일반 사용자 계정 접속 상태 kali Name : user 이름 ubuntu FTP 익명 사용자 계정 접속 상태 kali Name : anonymous ubuntu FTP root 사용자 계정 접속 상태 kali Name : root ubuntu 계정별 접속 결과 정상적인 FTP에 대해 탐지하지 않음 이 룰셋으로는 root 접속에 대...

ubuntu 이전 탐지 룰에 offset, depth 추가 문자열 위치 정확히 지정하지 않음 --> 미탐지 kali ubuntu SSH 계정별 구분 페이로드 영역 : 암호문 상태 --> 계정별 접속 불가

HTTP 웹 서버 접속 ubuntu kali ubuntu HTTP GET Flooding 공격하기 ubuntu kali ubuntu Slow Laris 공격 kali -H : 디폴트 설정 -g : 변하는 소켓의 상태 통계 설젖ㅇ -o : 보고서 출력 파일 설정 -c : 타겟에 연결 시도할 최대 세션 숫자 -r : ...