목적지 기준으로 syn 패킷이 초당 20개 이상 발생 시 경고(차단)
임계치(threshhold)설정
-type
limit ; 매 m초 동안 s번쨰 이벤트까지 action 수행
threshhold : 매 m초 동안 s번쨰 이벤트마다 action 수행
both : 매 m초 동안 s번쨰 이벤트 시 한번 action 수행
-track
by_src :발신자 ip 기준(동일한 출발지로 묶는다, 1;N)
by_dst : 수신자 ip 기준 (동일한 목적지로 묶는다, N:1)
-count/seconds :횟수/시간
- sid 탐지 번호 중복되면 에러난다
rule 설정
alert tcp any any -> 192.168.1.80 any (msg:"syn flooding"; flags:S;
threshold:type both, track by_dst, count 20, seconds 1; sid:0001;)
칼리리눅스에서
cd ~
vi snort-2.9.17/local.rules
metasploitable2 를 vmware에 띄우고 킨다.
그뒤에
칼리리눅스에서
터미널을 2개띄운뒤에
하나에는
snort -q -A console -c /root/snort-2.9.17/local.rules
(적용한 local 룰을 탐지한다)
하나에는
hping3 192.168.1.80 -S --flood
(syn flooding공격 -> 메타스플로이터블2에게 syn패킷을 빠르게보낸다)
결국에는 공격의 탐지 룰을 만들어서 성공하였습니다.
'공격기법 및 탐지' 카테고리의 다른 글
| syn scan 탐지 (0) | 2021.01.07 |
|---|---|
| Get flooding탐지 (0) | 2021.01.07 |
| kali linux에서 snort 탐지프로그램 설치 (0) | 2021.01.06 |
| DDos slowloris, slow read dos 공격실습 (0) | 2021.01.06 |
| DRDos 공격 실습 (0) | 2021.01.06 |