FWSnort, PSAD를 이용한 SCAN nmap XMAS 공격 탐지/차단

https://spacefriend.tistory.com/39

(Ubuntu) FWSnort와 psad 결합, psad 설치하기

이전 게시글을 토대로 공격을 진행해볼 것이다.

 

 

 

그동안 진행했던 "네트워크 보안"을 주제로 작성했던 SSR을 토대로

IDS, IPS, 방화벽에 핵심 역할을 하는 FWSnort, IPTables, PSAD 사용 방법과 실습을 숙지하였다.

 

분투 리눅스 기반의 IDS/IPS 설치와 운영 [스노트와 IPTables로 배우는 IDS/IPS] 도서를 기반으로 MS-SQL/SMB 기본탐지규칙을 차단식에 적합하도록 전환 작업을 진행하고 수동으로 snort 규칙을 iptables 규칙으로 자동 변환하여 공격을 DROP, REJECT 하는 식을 지정해주었다.

 

이번에는 가상머신을 통해 공격들을 FWSnort, PSAD가 잘 탐지해낼 수 있는지 모의 해킹을 진행해보겠다.

 

 

 

 

 

### alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN nmap XMAS"; flow:stateless; flags:FPU,12; reference:arachnids,30; classtype:attempted-recon; sid:1228; rev:7;)

 

local.rules의 sid:1228, fwsnort_iptcmds.sh 파일을 확인하고 해당 공격이 잘 탐지되는지 공격을 진행해보겠다.

 

 

 

 

공격자 ip 192.168.132.129(칼리 리눅스)

사용자 ip 192.168.132.130(우분투 리눅스)

 

공격자에서 피해자인 우분투 리눅스로 XMAS 공격을 진행하였다.

 

 

 

 

/var/log/psad/192.168.132.129 경로에서 해당 log 파일들을 확인할 수 있었다.

 

 

 

 

psad log 디렉토리에서 확인한 alert 메세지이다.

SCAN nmap XMAS가 진행되었다는 점과 출발지 ip, 도착지 ip, 패킷 수와 포트 정보를 확인할 수 있다.