Get flooding탐지

 

 

==================================

 

Get floodig 공격탐지

 

 

vi snort-2.9.17/local.rules

 

 

alerr tcp any any -> any any (msg:"Get Flooding attack";

content:"GET /"; nocase; threshold:type both, track by_src, count 100, seconds 1; sid:1000160;)

넣기

 

저장후

 

 

 

snort -q -A console -c /root/snort-2.9.17/local.rules

(탐지를하는 모니터링같은걸) 실행하고

 

tcpreplay -i eth0 --topspeed example19.pcapng

(피캡파일을 복구하는 명령어를사용해 패킷을 생성해서 반응을본다)

 

반응이 성공하였고 탐지가 가능해졌습니다.

 

 

 

 

2번째방법 ====================

 

 

 

 

윈도우에서 low orbit lon cannon을 이용해서 get flooding공격을

메타스플로이터블(192.168.1.80)에 날리고

 

 

 

 

 

 

칼리리눅스에서는

snort -q -A console -c /root/snort-2.9.17/local.rules

(탐지하는것 모니터링이라생각하면된다)

 

그러면 이렇게 탐지가되었고

윈도우-> 메타스플로이터블2로 보냈기떄문에 이렇게 윈도우 ip도 남게되었습니다