synflooding 탐지

목적지 기준으로 syn 패킷이 초당 20개 이상 발생 시 경고(차단)

 

 

임계치(threshhold)설정

 

-type

limit ; 매 m초 동안 s번쨰 이벤트까지 action 수행

threshhold : 매 m초 동안 s번쨰 이벤트마다 action 수행

both : 매 m초 동안 s번쨰 이벤트 시 한번 action 수행

 

-track

 by_src :발신자 ip 기준(동일한 출발지로 묶는다, 1;N)

by_dst : 수신자 ip 기준 (동일한 목적지로 묶는다, N:1)

 

-count/seconds :횟수/시간

 

- sid 탐지 번호 중복되면 에러난다

 

rule 설정

alert tcp any any -> 192.168.1.80 any (msg:"syn flooding"; flags:S;

threshold:type both, track by_dst, count 20, seconds 1; sid:0001;)

 

 

 

 

 

칼리리눅스에서 

cd ~

vi snort-2.9.17/local.rules

 

 

'

 

metasploitable2 를 vmware에 띄우고 킨다.

그뒤에

 

 

 

 

 

 

 

 

칼리리눅스에서

터미널을 2개띄운뒤에

 

하나에는

snort -q -A console -c /root/snort-2.9.17/local.rules

(적용한 local 룰을 탐지한다)

 

하나에는

hping3 192.168.1.80 -S --flood 

(syn flooding공격 -> 메타스플로이터블2에게 syn패킷을 빠르게보낸다)

 

 

결국에는 공격의 탐지 룰을 만들어서 성공하였습니다.