SNORT RULEs

SNORT RULE

[RULE HEADER] [Option]

alert any any -> any any (msg: "Ping Detected";sid:1000001; rev:1;)

[ Rule Header ]

alert : Action

any : 출발지 호스트/네트워크

any : 출발지 포트

-> : 방향

any : 목적지 호스트/네트워크

any : 목적지 포트

​

​

[ Action 유형 ]

alert log pass drop / reject

경고 발생 및 로그 기록 로그 기록 패킷 무시 패킷 차단 및 로그 기록 (IPS)

* Snort에서는 drop / reject 모두 로그 기록 남김

​

​

[ Option 유형 ]

msg content nocase offset sid rev

탐지 시 출력할 메시지 패킷에 포함된 문자열로 탐지 대소문자 무시 패킷의 상대적 길이 Snort ID 룰 변경 시 수정

* sid는 고유한 번호, 겹치지 않게 입력 (1000000 이상)

​

---

KALI LINUX

Graphic Install 후 여기서 안 넘어가면 전원 껐다 키기

게이트웨이는 NAT Settings와 동일하게

DNS

바로 root로 로그인 불가

root로 전환

Settings

​

[ IP Address 변경 ]

GUI : Settings - Advanced Network Configuration - IPv4 Settings

# vi /etc/network/interfaces

auto eth0

iface eth0 inet static

address 192.168.10.250

gateway 192.168.10.2

netmask 255.255.255.0

network 192.168.10.0

broadcast 192.168.10.255

dns-nameservers 8.8.8.8

​

[ vi 파일 자동 행 번호 추가 ]

# vi /root/.exrc

​

​

[ UPDATE & UPGRADE ]

# vi /etc/apt/sources.list

5줄 주석 해제

# apt-get -y update # apt-get -y upgrade init 6 후 한 번 더 # apt-get -y dist-upgrade

​

[ 폰트 복구 ]

# apt -y install fonts-nanum* # apt -y install fcitx-lib* # apt -y install fcitx-hangul

Rebooting 후 root 로그인

---

ICMP FLOODING

[ ICMP FLOODING ]

일반적으로 방화벽을 우회하거나 서버를 과부하 시키기 위한 DDoS 공격에 사용됨

• 다량의 ICMP Echo Request (Ping 요청) 패킷을 대상에게 전송
• 시스템이 ICMP 요청을 처리하는 데 과부하가 발생
• CPU 사용률 상승 및 네트워크 트래픽 과부하로 인해 서비스 지연 또는 마비

​

[ KALI의 hping3 도구를 이용해 ICMP Flooding 공격 시뮬레이션 ]

​

<KALI>

# ping -f 192.168.10.50	초 당 100회 (가능한 한 빠르게 전송)
# ping -D 192.168.10.50	1초 당 1회 (타임스탬프를 찍어 전송 시간 기록)

# vi /usr/local/snort/etc/snort/local.rules

alert icmp 192.168.10.250 any -> $HOME_NET any (msg:"Ping Detected by Kali";sid:1000001;rev:1)

기본 ICMP 탐지

snort3-community-rules.tar.gz 다운로드

/usr/local/snort/etc/snort/ 이동

압축 풀기 후 이름 변경

# tar -xvf snort3-community-rules.tar.gz

# mv snort3-community-rules snort3-rules

​

[ RULE 설정 ]​

# vi /usr/local/snort/etc/snort/snort.lua

# snort -c /usr/local/snort/etc/snort/snort.lua -i ens160 -A alert_fast

​

IP SPOOFING

[ IP Spoofing ]

발신 IP를 위조하여 공격 출처를 숨기는 기법

• ICMP Flooding
  • 다량의 ICMP Echo Request 패킷을 대상 서버에 전송하여 네트워크 마비를 유발하는 공격 방식
• DDoS (Distributed Denial of Service)
  • 여러 대의 장치에서 동시에 과부하 트래픽을 보내는 공격 방식

​

<Kali>

# hping3 --icmp --rand-source 192.168.10.50 --flood

→ ping을 랜덤 한 발신지로 50번 서버에 flood 시킴

​

hping3 : 네트워크 패킷 생성 및 분석 도구 (주로 침투 테스트 / 네트워크 공격 시뮬레이션)

--icmp : ICMP 패킷으로 공격 수행 (Ping of Death, ICMP Flood)

--rand-source : 랜덤 한 IP 주소를 Source IP로 사용 (공격 추적 회피를 위해)

192.168.10.50 : 공격 대상 IP 주소

--flood : 초당 최대한 빠르게 지속적으로 ICMP 전송

​

< 결과 >

랜덤 한 IP 주소를 출발지로 설정한 ICMP Flooding 공격 탐지