BruteForce공격룰연습

먼저 옵션을 보겠다. threshold:type [limit,threshold,both], track [by_src, by_dst], count [횟수], seconds [초] <- 이렇게 옵션을 쓸수있다. threshold: 설정시간 동안 동일한 패킷이 일정 수 발생하게 되면 경고나 알림을 기록해주는 것. 그래서 Brute Force 공격을 검출 할 때 유용한 옵션이다. 이제 여기서 부가 옵션을 살펴 보도록 하겠다. limit: count 동안 횟수번째 트래픽까지 탐지한다. threshold: 횟수마다 계속 탐지 both: both는 content에서 몇초 동안 횟수가 일어나면 알림을 알려주는 것이다. by_src: 출발지 패킷만 해당 by_dst: 목적지 패킷만 해당 옵션에서의 예를 살펴 보도록 하겠다. 우리가 설정되어 있는 IP를 가지고 설정으로 풀이까지 같이 해보겠다. 이제 옵션 하나하나 살펴보겠다. 우선 limit부터 살펴보도록 하겠다. 룰 설정은  alert icmp any any -> 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type limit, type by_dst, count 6, second 10; sid:10000008;) 패킷을 10개를 보내도 경고와 로그는 6번만 남는 것을 알 수 있다. 자 두번째로는 threshold 옵션을 살펴 보겠다 설명과같이 나올까? 살펴보도록 하자! 옵션은 alert icmp any any -> 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type threshold. type by_dst, count 6, second 10; sid:10000009;) 어떤 결과가 나올 것인가? 우선 패킷을 전송했다.   Snort가 감시한 패킷을 캡쳐한 결과를 보여주는 화면이다. threshold 옵션에서 알 수 있듯이 count 횟수마다 탐지를 하는 것을 알 수있다. 카운트를 6으로 잡았기에 192.168.112.188에서 192.168.112.198로가는 icmp 패킷이 두번 캡쳐 당한 사실을 알 수 있었다. seq=6일때와 seq=12일때 두번이 패킷이 탐지되었다. 여기서 캡쳐된 초와 패킷이 6번째 12번째 +6번 패킷이 전송 될 때마다 캡쳐가 된다는 사실을 알 수 있다. 그리고 여기서 하나 보는 김에 "Type: 8 (Echo (ping) request)"라는 부분을 암기하기 바란다 나중에 많이 보게 될 것이다.   마지막으로 both 에 대해 알아 보겠다. 예제를 알아 보겠다. alert icmp any any -> 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type both, type:by_dst, count 6, seconds 10; sid:10000010;) 풀이를 해보면 icmp로 192.168.112.198 가는 패킷 중 10초동안 count가 6회가 되면 알림을 알려주라는 뜻이다. kali에서 icmp를 보게 되면     이제 경고를 탐지되는 결과를 보여준다. 잘 모르겠다면 실습을 해보면 쉽게 알 수 있을 것이다.   패킷을 캡쳐하게 되면 시간초를 보자 그러면 9초9 거의 10초대를 잡고있는 것을 수 있다.