정상 비정상행위 구분

사용자가 많은 사이트의 경우 짧은 시간의 fin, syn은 정상/비정상을 구분하기 어려울 수 있다.

 

snort -v를 통해 스니핑 모드로 악성패킷의 특징을 추출한다.

 

특정 송/수신 패킷이 seq=0이다. 정상적인 상황에서는 seq=0이 나오기어렵다

 

sequence number, ack number가 있다.

 

 

 

 

 

이런식으로 sequence 넘버가 0이면 비정상행위일 가능성이크다

 

 

 

 

 

 

 

하지만 정상적인 패킷을 보면

 

seq =1과 len=1460이였던 sequence num와 len이합쳐져서

seq가 1461로 변화하엿고 그또 1460을 더해서 

Seq 가 2921 로바꼇다

일련번호를 더해가면서 정확히 규칙이 일치해야지만 정상적으로 판단을 합니다.

 

 

 

비정상적인 패킷을 탐지하려면 이러한 룰을 적용을 시킨다.

 

vi snort-2.9.17/local.rules

 

alert tcp any any -> any any (msg:"syn scan"; seq:0x0; threshhold:type both, track by_dst, count 200, seconds 1; sid:0001;)