[Network/Linux] SNORT (침입 탐지 시스템 : IDS)
SNORTSnort : 네트워크 트래픽 실시간 분석,로그기록네트워크 침입 탐지 및 방지 시스템(IDS/IPS) snort.org 홈페이지에서 Download Binaries에서 snort-2.9.20-l.centos.x86_64.rpm마우스 우클릭 후 링크 복사 복사한
hanpil00.tistory.com
[Network/Linux] SNORT (침입 탐지 시스템 : IDS) 심화
SNORT 심화SNORT 기본 참고 [Network/Linux] SNORT (침입 탐지 시스템 : IDS)SNORTSnort : 네트워크 트래픽 실시간 분석,로그기록네트워크 침입 탐지 및 방지 시스템(IDS/IPS) snort.org 홈페이지에서 Download Binaries
hanpil00.tistory.com
[Network/Linux] SNORT(침입 탐지 시스템 : IDS) DOS 탐지
SNORT 기본 참고 [Network/Linux] SNORT (침입 탐지 시스템 : IDS)SNORTSnort : 네트워크 트래픽 실시간 분석,로그기록네트워크 침입 탐지 및 방지 시스템(IDS/IPS) snort.org 홈페이지에서 Download Binaries에서 snort-2
hanpil00.tistory.com
SNORT Scan / Brute force
X-MAS 스캔 공격을 탐지함
PSH, URG, FIN 플래그가 설정된
TCP 패킷을 이용해 포트를 스캔함
TCP 패킷에 PSH, URG, FIN 플래그를
동시에 설정하여 패킷을 보내 공격을 수행함
5초 이내 10번 이상 PSH, URG, FIN
플래그가 설정된 조합을 감지
경고 메시지 "X-MAS SCAN" 출력함
SYN 플래그만 설정된 패킷을 스캔함
TCP 3-way handshake의 첫 단계 사용
SYN 패킷만 보내는 TCP SYN 스캔
공격을 수행함
5초 이내에 10번 이상 SYN 플래그가 설정된
패킷이 발생하면 경고를 발생시킴
공격 수행을 탐지하여 경고 메시지
"SYN SCAN"을 출력함
FIN 플래그만 설정된 TCP 패킷을 스캔함
FIN 플래그만 설정된 패킷을
보내 공격을 수행함
5초 이내에 출발지 IP에서 10번 이상
FIN 플래그가 설정된 TCP 패킷을 감지함
로그에 기록된 경고 메시지 "FIN SCAN" 출력
TCP 헤더에서 모든 플래그를
0으로 설정된 NULL 스캔 공격을
탐지하고 경고를 발생함
TCP 헤더의 모든 플래그를
0으로 설정한 패킷을 보내 공격을 수행함
5초 이내에 10번 이상 모든 플래그가
0인 패킷을 감지, 경고 메시지 "NULL SCAN" 출력
SSH brute force 공격을 탐지하는 규칙
Hydra와 같은 툴을 사용한 SSH
로그인 시도를 탐지함
-l : 하나의 사용자 이름만 사용
-x : 비밀번호 패턴을 설정, 브루트 포스 공격을 사용
-V -v : 상세한 로그 출력 활성화
(출력의 상세도를 조정)
1:2:1a : 길이가 1에서 2자 사이인 패스워드를 숫자와 소문자 알파벳을 조합하여 생성
ssh 프로토콜을 사용, 로그인 크래킹 공격을 시도
ID인 root와 password 1
크래킹 성공함
22번 포트로 5초 이내에 2번 이상
"SSH" 문자열을 포함한 패킷이 발생
경고 메시지 "SSH HYDRA BRUTE FORCE" 출력
'코리아IT아카데미 [국비과정] > 수업' 카테고리의 다른 글
| [Docker] 설치 및 기능(push/pull/load 등) (0) | 2025.04.10 |
|---|---|
| [Ubuntu] 설치 및 싱글부트와 한글 설정 (2) | 2025.04.10 |
| [Network/Linux] SNORT(침입 탐지 시스템 : IDS) DOS 탐지 (0) | 2025.04.02 |
| [Network/Linux] SNORT(침입 탐지 시스템 : IDS) 심화 (0) | 2025.04.02 |
| [Network/Linux] SNORT(침입 탐지 시스템 : IDS) 기본 (2) | 2025.04.01 |
