내부망으로 원격접속을 시도하는 것을 탐지하는 룰은
alert tcp 192.168.0.0/24 any <> 192.168.0.0/24 20:21:22:23 (msg:"remote connection"; sid:0001;)
출발지와 목적지를 자신의 서버가 속한 내부망 대역 전체로 설정
목적지 포트를 여러개 지정하는 방법은 콜론을 사용해서 구분합니다.
'공격기법 및 탐지' 카테고리의 다른 글
| sql injection 공격 탐지 , 정규 표현식을 이용한 탐지 (0) | 2021.01.11 |
|---|---|
| sql injection 탐지 (0) | 2021.01.11 |
| telnet 접속 탐지,bruteforce 공격 탐지(무작위대입공격), slow read dos 공격 탐지 (0) | 2021.01.08 |
| snort 문법정리해서 다시해보기 (0) | 2021.01.08 |
| slowloris 공격 탐지 (0) | 2021.01.08 |