공격기법 및 탐지

내부망 원격 접속시도

taktaks 2021. 1. 11. 09:55

내부망으로 원격접속을 시도하는 것을 탐지하는 룰은 

 

 

alert tcp 192.168.0.0/24 any <> 192.168.0.0/24 20:21:22:23 (msg:"remote connection"; sid:0001;)

 

 

출발지와 목적지를 자신의 서버가 속한 내부망 대역 전체로 설정

 

목적지 포트를 여러개 지정하는 방법은 콜론을 사용해서 구분합니다.

저작자표시 비영리 변경금지