udp port scan 탐지(icmp destination unreachable)

 

 

wireshark에서

ip.addr==192.168.0.80

 

 

 

nmap -sU 192.168.1.80(udp scan)

 

 

 

 

 

 

이제 포트스캔을 할수가있었습니다

 

 

 

edit -> preference 를 가서 +버튼을누르고 추가를해줍니다

 

 

 

dst port가 추가되고 확인을 할수가있었습니다.

 

 

칼리가보낼때는 칼리가 출발지-> 메타스플로잇(서버)목적지 로  udp scan을 시작하면

 

나갈때는

서버(출발지)->칼리(목적지)로 

unreachable이 뜬다고하면

서버에서 출발지로 응답을 계속 주면

udp port scan을 했다는 것을 추측을 할수가있습니다

 

 

 

그리고 참고로 wireshark 에서는 destination unreachable 이 네트워크 패킷에 포함되어있는게아니고

사람이 알수있게 보여주는거 뿐입니다.

icmp에서는 도달불가 메세지를 전달을해주기때문에

포트스캔을 할떄도 도달불가

그것을 이용해서 와이어샤크는 전달을해주고있는거같습니다.

 

 

 

 

 

 

udp port scan 공격탐지 ==================

 

1) 닫힌 포트에 대해서는 destination unreachable(code=3) 주기적으로 보낸다

 

 

 

alert icmp 192.168.1.80 any -> any any (msg:"udp scan"; itype:3; icode:3; threshold:type both, track by_dst, count 2, seconds 1; sid:0002;)

 

 

 

 

itype,icode3 은 port unreachable의 포트가 도달하지못했다는 경고가뜰때 사용하는것입니다

snort icmp rule itype 구글에서 이것을 치고 한번 찾아보시는것을 추천드립니다

 

서버에서 특정 목적지로 나가는게 많다면 udp port 스캔으로 추측을 합니다

 

여기 스노트에서는 192.168.1.80은 클라이언트고

dst는 칼리가됩니다(목적지)

 

 

지 포트스캔은 결국에는 메타스플로잇을 udp스캔했을때

메타스플로잇에서 칼리로 나가는 포트도달불가 메세지를 탐지하는것입니다

 

 

 

 

 

 

kali linux 터미널 하나에는

nmap -sU 192.168.1.80

 

 

kali linux 터미널 하나에는

snort -q -A console -c /root/snort-2.9.17/local.rules

 

 

이런식으로 udp 포트스캔에대한 공격의탐지가 가능하고있습니다.