[2024.07.04]
01. 규칙
alert icmp any any -> $HOME_NET any (msg:"ICMP Echo Request.!!";itype:8;sid:1000001;rev:1;)
02. threshold, track, count, seconds
> 10초 내에 들어오는 패킷 5개에 대해서 이벤트(로그)를 1개 발생
<실습>
먼저 CentOS 7에 화면의 룰을 입력해 준다
그 다음 Kali linux로 가서 ping을 돌리고
다시 CentOS 7으로 돌아와서 확인하면
10초에 5개를 설정해 놨기 때문에 해당 화면처럼 나오게 된다
정상적으로 작동하는지의 여부를 확인하기 위해 여러 번 시도해 봤다
이번에는 2초에 10개씩이라는 터무니없는 숫자를 집어넣었다
이때 2초에 10개를 출력하는 건 불가능하다
Kali linux에서는 마찬가지로 ping을 돌려 놓는다
CentOS 7으로 돌아와서 확인하면 계속 탐지 대기 상태인 화면으로 유지된다
10초에 11번으로 시도 시에도 탐지가 되지 않아야 된다
하지만 Kali linux 쪽에서 -f 옵션을 주고 실행하면
이런 식으로 셀 수도 없이 많은 ping이 빠르게 돌아간다
올라오는 ping 탐지 속도를 체감하기 위해 동영상도 첨부했다
이번에는 type threshold 부분을 limit으로 변경시키고 진행해 본다
이번에도 같은 옵션으로 ping을 돌려 놓고
CentOS 7에서 확인
왼쪽에서 오른쪽으로 보면 실시간으로 리밋이 걸리는 걸 볼 수 있다
숫자가 처음에는 많게 잡히지만 지날수록 더 낮아지는 걸 확인할 수 있다
이번에는 10초에 60개로 잡아 놓고 진행시켜 보려고 한다
마찬가지로 Kali linux 진행
이번에는 더 느린 속도로 감소되는 걸 확인할 수 있다
정해진 시간에 따라 카운트 수에 따라 약간씩 차이가 있어 충분히 연습해 보는 것이 좋다
<지난 시간 복습 겸 추가하여 연습>
지난 시간 혼자서 ssh도 성공시켜 봤지만,
이번 시간에는 강사님께서 가르쳐 주신 방식대로 시도해 봤다
룰 입력 후 탐지 대기 상태를 만들어 두고,
Kali linux에서는 ssh를 실행시킨다
다시 CentOS 7으로 돌아가서 확인 시 정상적으로 탐지하는 화면을 볼 수 있다
ssh에 이어 http도 간단하게 시도하고 넘어갔다
http의 경우 웹이기 때문에 페이지를 열어 CentOS 7의 IP 주소만 넣고 검색하면 끝이다
http도 성공한 모습의 CentOS 7 화면
이제 threshold와 limit을 실습하기 전에 마지막으로 NMAP까지 연습했다
기존 nmap에서 -sS 옵션만 주고 확인해 본다
그렇게 되면 CentOS 7에 여러 개의 설정해 둔 룰 때문에 모두 탐지가 된다
*Three-way handshake 시 syn을 보내 해당 화면처럼 나온다
이어서 X-MAS도 진행
이번에는 -sX 옵션을 주고 확인한다
X-MAS도 마찬가지로 여러 개의 룰이 동시에 나오며,
탐지가 성공하면 해당 화면처럼 나온다
강의 소감
오늘도 역시 지난 시간에 이어 더 깊이 배웠다
threshold, track, count, seconds에 대해서 배우게 됐는데,
더 나아가서 threshold와 limit도 배우고 더 많은 걸 배웠다
이제 시스템 해킹 강의가 하루밖에 남지 않았다
남은 하루도 꾸준히 노력했던 것처럼 열심히 수강해야겠다
