telnet을 패킷을 캡쳐하려면 

 

 

칼리에서

 

 

 

wireshark를 키고

메타스플로이터블에 텔넷접속을 한것을 캡쳐한다

텔넷은 아이디를 문자 하나 입력할동시에 다시 서버로 갑니다 그리고 나한테보입니다

 

 

 

 

 

 

 

 

==========================================

 

 

 

 

 

===========================

 

1.telnet 접속 시도 탐지

 

 

 

 

정상접속은 syn, port scan은 syn , rst를 보내므로,  구분하여 룰을 생성한다.

 

 

 

 

 

vi snort-2.9.17/local.rules

 

 

alert tcp any any -> any 23 (msg:"telnet"; sid:0001;)

 

 

 

 

 

윈도우cmd ) telnet 192.168.1.80

(metasploitable2로 갑니다)

 

 

snort -q -A console -c /root/snort-2.9.17/local.rules
(탐지)

 

탐지가 가능하고 

 

 

 

 

 

 

 

 

 

==================================================

 

 

 

 

2.로그인 성공 탐지

 

 

 

 

 

성공 : content:last login;

 

 

 

vi snort-2.9.17/local.rules

 

alert tcp 192.168.1.80 23 -> any any (msg:"telnet login"; content:"last login"; nocase; sid:0001;)

            (any any 해도된다.)

 

(192.168.1.80(any)  23 에서 문자를 보내주는거다)

 

 

 

 

 

집어넣기

 

메타스플로이터블23번 포트에서  -> 아무곳 아무포트에  lastlogin이 출력되면(보낼떄) 탐지하는것이다

 

 

윈도우 -> metatsploitabl2 접속후 로그인

 

탐지를시작

 

 

 

 

 

==

 

3. 로그인 실패 탐지

 

 

 

 

 

 

 

실패 : content:Login incorrect;

 

 

 

 

vi snort-2.9.17/local.rules

 

 

 

alert tcp 192.168.1.80 23 -> any any (msg:"telnet fail"; content:"Login incorrect"; nocase; sid:0002;)

            (any any 도됩니다)

 

 

 

윈도우 -> metatsploitabl2 접속후 로그인실패를 띄워보자

 

 

 

 

snort -q -A console -c /root/snort-2.9.17/local.rules

(탐지)

 

텔넷 로그인을 실패하였을떄 나오는 말이 잘나오게됬습니다.

 

==========================================

참고로 클라이언트에서 포트번호를 접속시마다 매번 운영체제에서 자동으로 설정하니

192.168.1.69:1615 처럼 포트번호가 바뀝니다

 

텔넷뿐만아니라 모든서비스도 동일하다)

========================================

 

 

 

 

========================================

 

 

 

 

 

 

 

4. bruteforce 공격 탐지(무작위대입공격)

 

 

 

 

 

칼리 터미널에서

 

crunch 4 4 1234 > /root/Desktop/pass.txt

 

 

 

 

 

vi snort-2.9.17/local.rules

 

 

alert tcp 192.168.1.80 23 -> any any (msg:"Brute forcer23" ; threshold:type both,track by_src, count 2, seconds 1; sid:0004;)

 

 

집어넣기

 

 

 

윈도우 cmd) telnet 192.168.1.80 

(->metasploitable2로 접속만)

 

snort -q -A console -c /root/snort-2.9.17/local.rules

(탐지)

 

hydra -l msfadmin -P /root/Desktop/pass.txt -f 192.168.1.80 telnet

(공격)

 

 

 

 

탐지가 성공하였고 성공적이였습니다

 

 

==================================================

 

 

====================================

 

 

 

 

 

 

 

 

 

5. slow read dos 공격 탐지 

 

 

 

 

 

tcp zerowindow 

 

 

 

윈도우 사이즈가 0이라는 뜻입니다

 

 

 

alert tcp any any -> any any (msg:"slow read dos"; 

threshold:type both, track by_src, count 20, seconds 1; window:0; sid:0001;)

 

 

 

 

 

 

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'공격기법 및 탐지' 카테고리의 다른 글

sql injection 탐지  (0) 2021.01.11
내부망 원격 접속시도  (0) 2021.01.11
snort 문법정리해서 다시해보기  (0) 2021.01.08
slowloris 공격 탐지  (0) 2021.01.08
smurf attack 공격탐지  (0) 2021.01.08

티스토리툴바