침입 차단/탐지 시스템(IPS/IDS) Snort_PortScan Detected Rules

Snort

네트워크 침입 차단/탐지 시스템(NIPS, NIDS, Network Instrusion Prevention/Detection System)

-> 프로토콜을 분석하며 내용 검색 그리고 매칭을 수행한다.

Sniffer, Packet Logger, 침입 탐지가 주요 모드

​

​

다음과 같은 구성에서 각종 사용법 등을 알아볼 것이다.

​

서로 간의 라우팅, 인터넷은 되는 상태

​

Kali : 외부에서 침입을 시도하는 Hacker

Snort : 침입을 방어하기 위한 일종의 보안 장비(CentOS)

XP : 사용자

​

​

​

​

이번 포스팅은 외부의 공격을 예로 삼아 Snort를 이용할 것이다.

​

---

Flags 옵션을 이용해 Network 공격을 탐지

​

​

Example 1) X-mas Scan, Null Scan

​

- X-mas Scan

FIN+PSH+URG 플래그를 사용하며 포트가 닫혀있을 시 RST+ACK로 응답

ex) nmap -sX -p 1-100 [Target IP]

​

Rule

- alert tcp any any -> 10.0.0.10/32 any ( msg:"X-MAS!!!"; flags:FPU; sid:1000001; )

​

​

​

- Null Scan

플래그를 사용하지 않으며 포트가 닫혀있을 때 RST+ACK로 응답

ex) nmap -sN -p 1-100 [Target IP]

​

Rule

- alert tcp any any -> 10.0.0.10/32 any ( msg:"NULL_SCAN!!!"; flags:0; sid:1000002; )

​

​

​

위의 스캔기법을 제외한 스캔 기법들은 공격자가 아닌 이들도 사용하는 Flag이기 때문에 정상패킷들도 탐지가 된다.

​

그래서, 행위기반 탐지가 가능한 threshold 옵션을 사용

​

threshold

- track by_src : 동일한 출발지에서

- track by_dst : 동일한 목적지로

​

-> threshold:type threshold(패킷량) limit(임계시간), both(임계시간 단위당 로그 발생량)

ex) (flags:S; threshold:type both,track by_src, count 10, seconds 3; sid:1000001;)

​

​

Example 2) TCP Open Scan, TCP Half Scan, Decoy Scan

​

- TCP Open Scan

TCP 3 Way-Handshake 과정을 이용한 방법으로 SYN 패킷을 보내 포트의 상태를 확인하는 것

ex) nmap -sT -p 1-100 [Target IP]

​

Rule

- alert tcp any any -> 10.0.0.10/32 any ( msg:"TCP_OpenScan!!!"; flags:S; threshold:type both,track by_src, count 10, seconds 3; sid:1000003; )

​

​

​

- TCP Half Scan

3 Way-HandShake 과정을 완전히 수행하지 않아 대상에게 해커의 정보가 남지 않는다.(Client에서 RST로 마지막응답)

ex) nmap -sS -p 1-100 [Target IP]

​

위 방법과 동일하다.

​

​

- Decoy Scan

스캔을 할 때 설정한 임의의 IP를 출발지 IP로 지정해 Port를 Scan하는 방법

ex) nmap -sX -p 1-100 -D [임의의 IP] [Target IP]

​

Rule

- alert tcp any any -> 10.0.0.10/32 any ( msg:"Decoy Waring!!!"; threshold:type both,track by_src, count 10, seconds 3; sid:1000004; )

​