wireshark에서
ip.addr==192.168.0.80
nmap -sU 192.168.1.80(udp scan)
이제 포트스캔을 할수가있었습니다
edit -> preference 를 가서 +버튼을누르고 추가를해줍니다
dst port가 추가되고 확인을 할수가있었습니다.
칼리가보낼때는 칼리가 출발지-> 메타스플로잇(서버)목적지 로 udp scan을 시작하면
나갈때는
서버(출발지)->칼리(목적지)로
unreachable이 뜬다고하면
서버에서 출발지로 응답을 계속 주면
udp port scan을 했다는 것을 추측을 할수가있습니다
그리고 참고로 wireshark 에서는 destination unreachable 이 네트워크 패킷에 포함되어있는게아니고
사람이 알수있게 보여주는거 뿐입니다.
icmp에서는 도달불가 메세지를 전달을해주기때문에
포트스캔을 할떄도 도달불가
그것을 이용해서 와이어샤크는 전달을해주고있는거같습니다.
udp port scan 공격탐지 ==================
1) 닫힌 포트에 대해서는 destination unreachable(code=3) 주기적으로 보낸다
alert icmp 192.168.1.80 any -> any any (msg:"udp scan"; itype:3; icode:3; threshold:type both, track by_dst, count 2, seconds 1; sid:0002;)
itype,icode3 은 port unreachable의 포트가 도달하지못했다는 경고가뜰때 사용하는것입니다
snort icmp rule itype 구글에서 이것을 치고 한번 찾아보시는것을 추천드립니다
서버에서 특정 목적지로 나가는게 많다면 udp port 스캔으로 추측을 합니다
여기 스노트에서는 192.168.1.80은 클라이언트고
dst는 칼리가됩니다(목적지)
지 포트스캔은 결국에는 메타스플로잇을 udp스캔했을때
메타스플로잇에서 칼리로 나가는 포트도달불가 메세지를 탐지하는것입니다
kali linux 터미널 하나에는
nmap -sU 192.168.1.80
kali linux 터미널 하나에는
snort -q -A console -c /root/snort-2.9.17/local.rules
이런식으로 udp 포트스캔에대한 공격의탐지가 가능하고있습니다.
'공격기법 및 탐지' 카테고리의 다른 글
| DNS qeury flooding 공격 탐지 (0) | 2021.01.07 |
|---|---|
| tcp만 사용하는 port에 udp로 접속시도 탐지 (0) | 2021.01.07 |
| udp flooding 탐지 (0) | 2021.01.07 |
| 정상 비정상행위 구분 (0) | 2021.01.07 |
| x-mas scan 탐지 기법 (0) | 2021.01.07 |