13주차
telnet(23) 차단 - 이전 주차의 tcp 차단에서 포트번호만 23으로 변경
DoS 실습
2.1 기본 공격 탐지
모든 공격 알림을 주는 rule 작성
kali에서 ping
wireshark, snort에서 확인 가능
무조건 any any-> 부하 많음, 따라서 적절한 ip 대역폭 사용 필요. 이를 위해선 네트워크 모니터링 해야함 (ex. 위 실습에서 snort에 찍히는 거 보면 여기선 100.128에서 공격이 들어오고 있음을 알 수 있음)
0: 1~256 모두 포함
24: 32- 8(0에 대한 range, 여기선 0이 하나이므로 -8)
지금은 간단하니 128인 걸 알지만 보통은 알 수 X
-> 모니터링을 통해 범위를 줄여가야함
2.2 공격 reject
alert -> reject
kali(공격 측) 화면- "unreachable", "unknown" 메세지 받음
2.3 룰 옵션들 (ip 위조, 로그 확인)
111.33으로 ip 위조
상황: ping에 대한 reply를 제 3자(111.33= 위조 ip)에게 보내고 있음. 응답이 돌아오지 않으니 kali에서 공격 후 반응이 없고, 룰에 따르면 128에서 오는 공격만 탐지하고 있으므로 snort에도 안뜸.
111.33(위조 ip)으로 나가는 응답을 확인할 수 있도록 룰 추가
111.33으로의 응답이 snort에서 탐지됨.
여기서 정보보호시스템의 약점: ip위조하는게 룰 새로 작성해내는 것보다 훨씬 빠름. 공격측이 강할 수 밖에..
root 로 옮겨서 /var/log/snort 디렉토리로 이동, ll 명령 실행하면 로그 정보 출력
로그 목록에 있는 번호를 통해 명령어 적용하면
패킷과 각 프로토콜의 양, 비율 등도 알 수 있음
2.4 룰에 포함된 대역폭 or 룰에 포함되지 않는 대역폭의 공격에 따른 반응 차이
10.~ 으로 시작되는 소스 주소, 172.16.~ 으로 시작되는 소스 주소에서 오는 공격들을 탐지
포함 X 주소로 위조시
wireshark에선 보이지만 snort는 반응 없다.
반면 포함되는 ip주소로 위조하여 공격할시
snort가 탐지함
마찬가지로 위 주소로 위조해 공격해도
정상적으로 탐지.
위와 같이 룰을 작성하고 만약 우분투와 같은 주소로 위조하여 공격할 시
snort가 반응한다(?????)
송신, 수신자가 같은 ip일시 탐지할 수 있도록 해주는 옵션인 sameip를 적용한 후 다시 공격하면
마찬가지로 snort가 탐지한다. 근데 두 경우(sameip 적용 or 미적용) 모두 탐지가 잘 되는데 원래 이런건지 헷갈린다. 강의자료에서도 그렇긴 한데.... 아마 실제 송신자의 ip가 아니라 위조된 ip라 그런 걸수도 있을 것 같음