출발지가 피해서버가 속해있는 네트워크의 모든 호스트로 지정해야한다.
vi snort-2.9.17/loca.rules
alert icmp 10.40.201.0/24 any -> 10.40.201.226 any (msg:"smurf"; icode:0; itype:0; threshold: type both, track by_dst, count 10, seconds 1; sid:0001;)
type도 0 이고 code:0 이며 10.40.201.226 목적지를 기준으로 잡고 출발지인 10.40.201.0/24 대역전부중에서 1초에 10번의 icmp핑이 목적지로 오면 탐지를하겟다
네트워크 id 와 같은네트워크에있는 호스트들을 지정합니다
icmp 핑이 10번이상들어오면 탐지를 하겠다.
출발지는 예측할수는 없지만
출발지는 같은네트워크에있는 호스트 들이라는 것은알수있습니다
snort -q -A console -c /root/snort-2.9.17/local.rules
(탐지)
tcpreplay -i eth0 --topspeed example15-2.pcap
(패킷생성)
자 탐지가 잘가능했고
wireshark에서 비정상적인곳의 네트워크대역을 전부쓰고
사전에 탐지를했습니다.
'공격기법 및 탐지' 카테고리의 다른 글
| snort 문법정리해서 다시해보기 (0) | 2021.01.08 |
|---|---|
| slowloris 공격 탐지 (0) | 2021.01.08 |
| ICMP flooding , NTP replection 공격탐지 (0) | 2021.01.08 |
| DNS qeury flooding 공격 탐지 (0) | 2021.01.07 |
| tcp만 사용하는 port에 udp로 접속시도 탐지 (0) | 2021.01.07 |