slowloris =http get 요청이면서 요청패킷의 종료 시그니처가 잘못된것 (개행문자가 1번만 있는것)
1. 개행문자가 1번 포함 = 개행문자가 2번이 아닌것 = content:!"|0d 0a 0d 0a|"
2. 시작이 GET / => content:"GET /"
vi snort-2.9.17/local.rules
alert tcp any any -> any any (msg:"slowloris"; content:"|47 45 54 20 2F|";
content:"|0d 0a 0d 0a|"; nocase; sid:0001;)
snort -q -A console -c /root/snort-2.9.17/local.rules
(탐지)
tcpreplay -i eth0 --topspeed example20.pcap
(패킷생성)
탐지가 가능했고 경고문구가 떴습니다.
'공격기법 및 탐지' 카테고리의 다른 글
| telnet 접속 탐지,bruteforce 공격 탐지(무작위대입공격), slow read dos 공격 탐지 (0) | 2021.01.08 |
|---|---|
| snort 문법정리해서 다시해보기 (0) | 2021.01.08 |
| smurf attack 공격탐지 (0) | 2021.01.08 |
| ICMP flooding , NTP replection 공격탐지 (0) | 2021.01.08 |
| DNS qeury flooding 공격 탐지 (0) | 2021.01.07 |