[snort] snort를 이용한 스캔 공격 탐지

1. Xmas Scan 탐지

alert tcp any any -> any any (msg:"Xmas Scan Detection";flags:FPU;sid:10000001;)

-Xmas scan : tcp 헤더 flag에 FIN,PUT,URG 설정하여 패킷을 보내는 스캔공격이다. 이 3개의 flags가 설정된 패킷을 공격대상이 받으면 해당 포트가 오픈된 경우에는 패킷을 버리고(DROP)하고, 닫혀있을경우에는 RST,ACT 패킷을 보낸다. 공격자는 응답형태에 따라 공격대상의 오픈 포트를 확인할 수 가 있다.

[그림2] alert 로그파일에 기록된  Xmas Scan 공격

flag	snort 에서 사용되는 문자
FIN	F
SYN	S
RST	R
PSH	P
ACK	A
URG	U
Reserved Bit 1	1
Reserved Bit 2	2
No Flag set	0

2. Null Scan 탐지

alert tcp any  any -> any any (msg:"Null Scan Detection";flags:0;sid:10000002;)

-Null Scan : tcp 헤더 flag에 어떤 flag도 설정하지 않고 패킷을 보내는 스캔공격이다. 이러한 패킷을 받은 공격대상은 xmas scan과 동일하게 응답한다.

[그림2] alert 로그파일에 기록된  Null Scan 공격

3. Fin Scan 탐지

alert tcp any  any -> any any (msg:"Fin Scan Detection";flags:F;sid:10000003;)

-Fin Scan : tcp 헤더 flag에 Fin만 설정하여 패킷을 보내는 스캔공격이다. 이러한 패킷을 받은 공격대상은 xmas scan과 동일하게 응답한다.

[그림2] alert 로그파일에 기록된  Fin Scan 공격