ICMP or TELNET탐지

Snort 룰 icmp 하는 법은 쉽게 할 수 있다. alert icmp any any -> $HOME_NET any (msg:"ICMP"; sid:1000001;) 이렇게만 설정을 해줘도 icmp 탐지를 할 수있다. 여기서 옵션을 하나하나 설명하겠다. "모든 IP와 모든 PORT에 대해 HOME_NET로 모든 PORT가 icmp로 패킷을 전달 할 때 icmp를 탐지" 해라는 뜻 입니다. 여기서 뒤에 msg는 ICMP 패킷이 탐지되었으면, 해당 경고 사항에 대한  이름을 ICMP로 표현을 한 것이고, sid는 룰 정의를 하는 번호입니다. 100~1,000,000는 SNORT에서 할당한 번호 1,000,000 사용자 정의 룰 할당 번호이다. ※반드시 룰 설정 시 sid를 기입해줘야 한다. 룰이 하나씩 정의 되기 때문에 같은 sid번호로 룰을 지정해주면 오류가 난다. 이제 snort를 실행시킨후 경고창과 패킷캡쳐에서 내용을 살펴보도록 하겠다. /var/log/snort/ 에 들어가보면 snort.log.숫자 가 있을 것이다 이걸 wireshark로 열게되면 해당 패킷을 볼 수 있다.   출발 주소는 192.168.112.188 인것을 알 수 있다. 그리고 도착지 주소는 10.10.10.10으로 ICMP 패킷을 보내고 있는 모습을 볼 수있다. 두번째 사진은 telnet 로그인 실패부터 먼저 확인 하겠다. 현재 kali에서 xp로 telnet을 접속을 하고 로그인 실패하는 과정을 패킷에 담았다. 패킷을 보다 보면 password라고 나와 있는 부분을 볼 수 있다.   우클릭을 해서 follow tcp stream을 실행 해보자   그럼 이런창이 하나 뜰 것이다. 여기서 보게되면 login 할때 telnet에 접근을 시도할 때 login 시 id를 어떤 것을 썼는지 살펴 볼 수 있게 된다.    저 login id도 어떻게 전송되는지 살펴 볼 수 있는데 패킷중 telnet이라고 써있는 부분을 보면 data 부분이 있다.   확인해 보면 a, d, m,...r 이렇게 하나씩 전송하는것을 알 수 있다. 로그인 성공 시 위와 같이 패킷을 확인하면 이와 같이 나온다.