티스토리 뷰
반응형
이전 포스팅에 실제 파이썬으로 ssh brute attack 을 해보고 서버의 설정을 통해 차단을 하였다.
참고: ssh brute attack 공격
참고: ssh brute attack 보안
이번에는 시스템에서의 차단이 아닌 네트워크 상에서 패킷을 감지하고 알림을 주기 위해 snort를 사용하였다.
참고: snort 설치 및 실행
/etc/snort/rules/local.rules 에 rule 등록
룰 옵션
content: 페이로드에서 검사할 문자열을 지정한다. text와 binary가 있으며 현재는 text만 사용하였다.
nocase: 페이로드 검사시 대/소문자를 구분하지 않는 옵션
threshold: count 5, seconds 30 이니까 30초 동안 동일한 이벤트가 5번 발생하면 한번의 action을 수행한다라는 의미이다. 60초 동안 10번의 이벤트가 발생하면 총 2번의 action을 수행한다.
track: by_src는 출발지 IP를 기준으로 추적한다는 의미이다.
snort를 실행한 결과 아래와 같이 alert가 발생하였다.
Plus
추가적으로 iptalbles를 이용하여 해당 패킷을 DROP 하였다.
iptables -A INPUT -s 192.168.0.12 -p TCP --dport 22 -j DROP
반응형
'Security > 네트워크' 카테고리의 다른 글
[네트워크공격-Flooding] TCP SYN Flooding 실습과 대응 (0) | 2022.01.20 |
---|---|
[CentOS7] IDS 환경을 위한 Snort 구축 및 테스트 (2) | 2021.01.19 |
[Linux] Synflood 공격 및 탐지 (0) | 2020.12.17 |
반응형
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 보안
- 코딩테스트
- 카카오페이면접후기
- llm
- Ai
- 시간초과
- 우선순위큐
- t검정
- lightsail
- 정보보안
- 카카오페이
- 프로그래머스
- synflooding
- 딥러닝
- 리눅스
- 파이썬
- 분산시스템
- Python
- 백준
- linux
- t-test
- 보안기사
- 그리디
- 자료구조
- 정보보안기사
- FastAPI
- springboot
- 다이나믹프로그래밍
- LangChain
- java
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 |
글 보관함