1. Xmas Scan 탐지
alert tcp any any -> any any (msg:"Xmas Scan Detection";flags:FPU;sid:10000001;)
-Xmas scan : tcp 헤더 flag에 FIN,PUT,URG 설정하여 패킷을 보내는 스캔공격이다. 이 3개의 flags가 설정된 패킷을 공격대상이 받으면 해당 포트가 오픈된 경우에는 패킷을 버리고(DROP)하고, 닫혀있을경우에는 RST,ACT 패킷을 보낸다. 공격자는 응답형태에 따라 공격대상의 오픈 포트를 확인할 수 가 있다.
| flag | snort 에서 사용되는 문자 |
| FIN | F |
| SYN | S |
| RST | R |
| PSH | P |
| ACK | A |
| URG | U |
| Reserved Bit 1 | 1 |
| Reserved Bit 2 | 2 |
| No Flag set | 0 |
2. Null Scan 탐지
alert tcp any any -> any any (msg:"Null Scan Detection";flags:0;sid:10000002;)
-Null Scan : tcp 헤더 flag에 어떤 flag도 설정하지 않고 패킷을 보내는 스캔공격이다. 이러한 패킷을 받은 공격대상은 xmas scan과 동일하게 응답한다.
3. Fin Scan 탐지
alert tcp any any -> any any (msg:"Fin Scan Detection";flags:F;sid:10000003;)
-Fin Scan : tcp 헤더 flag에 Fin만 설정하여 패킷을 보내는 스캔공격이다. 이러한 패킷을 받은 공격대상은 xmas scan과 동일하게 응답한다.
'보안' 카테고리의 다른 글
| IP/TCP/UDP 헤더 구조 (0) | 2019.11.11 |
|---|---|
| [ssldump] 설치 (0) | 2019.11.10 |
| [tcpdump] HTTP 트래픽 분석 (0) | 2019.11.09 |
| [정보보안기사] 2019년 2차 정보보안기사 실기 (0) | 2019.11.09 |
| [iptables] 활용 (0) | 2019.11.05 |
