slowloris =http get 요청이면서 요청패킷의 종료 시그니처가 잘못된것 (개행문자가 1번만 있는것)

 

1. 개행문자가 1번 포함 = 개행문자가 2번이 아닌것 = content:!"|0d 0a 0d 0a|"

 

 

2. 시작이 GET / => content:"GET /"

 

 

 

 

vi snort-2.9.17/local.rules

 

alert tcp any any -> any any (msg:"slowloris"; content:"|47 45 54 20 2F|";

content:"|0d 0a 0d 0a|"; nocase; sid:0001;)

 

 

 

 

 

 

 

snort -q -A console -c /root/snort-2.9.17/local.rules

(탐지)

 

 

tcpreplay -i eth0 --topspeed example20.pcap

(패킷생성)



 

탐지가 가능했고  경고문구가 떴습니다.

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'공격기법 및 탐지' 카테고리의 다른 글

telnet 접속 탐지,bruteforce 공격 탐지(무작위대입공격), slow read dos 공격 탐지  (0) 2021.01.08
snort 문법정리해서 다시해보기  (0) 2021.01.08
smurf attack 공격탐지  (0) 2021.01.08
ICMP flooding , NTP replection 공격탐지  (0) 2021.01.08
DNS qeury flooding 공격 탐지  (0) 2021.01.07

티스토리툴바