이상 상황에 대한 Snort rules

minkoong·2023년 4월 17일

snort

목록 보기

5/23

root 로그인 탐지

ftp root 로그인

$ alert tcp any any -> dst_ip 21 (msg: "FTP root login"; content: "USER root"; nocase; sid:1000001;)

- ftp 접속 시 USER 명령을 통해 ID 전달

Telnet root 로그인

$ alert tcp src_ip 23 -> any any (msg: "Telnet root login"; content: "login"; pcre: "\root.*#\"; nocase; sid:1000001;)

- Telnet 접속 시 로그인 성공 메시지, shell로 평문 전달
- 정규 표현식 : root@로 시작, 임의의 문자가 0회 이상 나타난 후 #을 포함하는 문자열 검사

패스워드 크래킹 탐지

Telnet Brute Force/Dictionary Attack

$ alert tcp src_ip 23 -> any any (msg: "Telnet Brute Force"; content: "Login incorrect"; nocase; threshold: type limit, track by_dst, count 5, seconds 1; sid:1000001;)

- Telnet 응답 메시지에서 로그인 실패 탐지

FTP Brute Force/Dictionary Attack

$ alert tcp src_ip 21 -> any any (msg: "FTP Brute Force"; content: "Login incorrect"; nocase; threshold: type threshold, track by_dst, count 5, seconds 1; sid:1000001;)

SSH Brute Force/Dictionary Attack

$ alert tcp any any -> dst_ip any (msg: "SSH Brute Force"; content: "SSH-2.0"; nocase; threshold: type both, track by_src, count 5, seconds 1; sid:1000001;)

- 로그인 요청 메시지에서 SSH-2.0 문자열 탐지

Flooding Attack 탐지

HTTP GET Flooding

$ alert tcp any any -> dst_ip 80 (msg: "HTTP Flooding"; content: "GET /HTTP/1."; nocase; threshold, type threshold; track by_src, count 50, seconds 1; sid:1000001;)

- HTTP 요청 메시지에서 "GET / HTTP 1." 문자열 탐지

TCP SYN Flooding

$ alert tcp any any -> dst_ip 80 (msg: "TCP SYN Flooding"; flags: S; threshold: type threshold, track by_src, count 5, seconds 1; sid:1000001;)

- HTTP 클라이언트의 TCP 요청 메시지에서 SYN Flag 탐지

UDP SYN Flooding

$ alert udp any any -> dst_ip any -> (msg: "UDP Flooding"; threshold: type threshold, track by_src, count 5, seconds 1; sid:1000001;)

비정상 IP 패킷

인터넷 구간의 사설 IP를 가진 패킷

$ alert udp 10.0.0.0/8 any -> dst_ip any -> (msg: "abnormal packet"; sid:1000001;)

인터넷에 돌아다니는 패킷 중 사설 IP 주소를 가진 패킷 : 조작된 IP 주소

Source IP, Destination IP가 동일한 패킷

$ alert ip any any -> dst_ip any (msg: "LAND Attack"; sameip; sid:1000001;)

- LAND Attack에 사용되는 패킷 탐지

minkoong

이전 포스트

Snort로 만드는 다양한 rule

다음 포스트

이상 상황에 대한 Snort rules

snort

root 로그인 탐지

ftp root 로그인

Telnet root 로그인

패스워드 크래킹 탐지

Telnet Brute Force/Dictionary Attack

FTP Brute Force/Dictionary Attack

SSH Brute Force/Dictionary Attack

Flooding Attack 탐지

HTTP GET Flooding

TCP SYN Flooding

UDP SYN Flooding

비정상 IP 패킷

인터넷 구간의 사설 IP를 가진 패킷

Source IP, Destination IP가 동일한 패킷

Snort로 만드는 다양한 rule

사설 IP 탐지 rule

0개의 댓글