티스토리 뷰

Security/네트워크

[Linux] Snort를 활용한 SSH brute attack 탐지

brad.min 2021. 1. 21. 07:10
반응형

이전 포스팅에 실제 파이썬으로 ssh brute attack 을 해보고 서버의 설정을 통해 차단을 하였다.

 

참고: ssh brute attack 공격

 

[Linux] SSH Brute Force 공격 파이썬 구현 및 확인 CentOS7

Brute Force Attack 시스템을 해킹하기 위해서는 사용하는 여러가지 방법 중 시스템의 계정 비밀번호를 무작위 공격으로 알아내는 것을 Brute Attack 이라고 표현한다. 파이썬으로 리눅스 root 계정 비밀

techbrad.tistory.com

참고: ssh brute attack 보안

 

 

[Linux] SSH Brute Force 보안 - root 계정 원격 접속 차단 및 포트 변경 (CentOS7)

이전 포스팅에서 리눅스 CentOS7 기준으로 root의 계정을 찾기 위한 Brute Force를 진행하였다. 리눅스 Brute Force Attack 파이썬 구현 및 확인 Brute Force Attack 시스템을 해킹하기 위해서는 사용하는 여러가.

techbrad.tistory.com

 

[Linux] SSH Brute Force 보안 - 계정 잠금 임계치 설정 (Centos7)

지난번 Brute Force 공격 후 ssh root 계정으로 원격 접속 금지 설정에 대해 알아보았다. 하지만 이는 공격자로 하여금 다른 계정으로 접속 공격을 시도하고 시스템에 부하를 줄 수 있다. SSH Brute Force

techbrad.tistory.com

 

이번에는 시스템에서의 차단이 아닌 네트워크 상에서 패킷을 감지하고 알림을 주기 위해 snort를 사용하였다.

 

참고: snort 설치 및 실행

 

[CentOS7] IDS 환경을 위한 Snort 구축 및 테스트

1. 관련 패키지 설치 yum -y install libdnet-devel openssl-devel pkgconfig gcc flex bison zlib* libpcap* pcre* libpcap-devel libpcre3-devel libnetfilter-queue-devel iptables-devel libd..

techbrad.tistory.com

 

/etc/snort/rules/local.rules 에 rule 등록

룰 옵션

content: 페이로드에서 검사할 문자열을 지정한다. text와 binary가 있으며 현재는 text만 사용하였다.

nocase: 페이로드 검사시 대/소문자를 구분하지 않는 옵션

threshold: count 5, seconds 30 이니까 30초 동안 동일한 이벤트가 5번 발생하면 한번의 action을 수행한다라는 의미이다. 60초 동안 10번의 이벤트가 발생하면 총 2번의 action을 수행한다.

track: by_src는 출발지 IP를 기준으로 추적한다는 의미이다.

 

 

snort를 실행한 결과 아래와 같이 alert가 발생하였다.

 

Plus 

추가적으로 iptalbles를 이용하여 해당 패킷을 DROP 하였다.

iptables -A INPUT -s 192.168.0.12 -p TCP --dport 22 -j DROP

반응형
저작자표시 비영리 변경금지

'Security > 네트워크' 카테고리의 다른 글

[네트워크공격-Flooding] TCP SYN Flooding 실습과 대응  (0) 2022.01.20
[CentOS7] IDS 환경을 위한 Snort 구축 및 테스트  (2) 2021.01.19
[Linux] Synflood 공격 및 탐지  (0) 2020.12.17
반응형
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2025/02   »
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28
글 보관함