스노트 탐지실습1(Land attack)

land attack?

출발지 ip주소와 목적지 ip주소 값을 똑같이하여 보내는 공격

시스템은 공격자가 보낸 syn패킷의 출발지 ip주소를 참조하여 목적지 ip주소를 

패킷의 출발지 주소로 설정하여 보낸다.

따라서 패킷은 네트워크 밖으로 나가지않고 자기자신에게 돌아오므로 이상상태에 빠진다.

 

탐지패턴 

 

모든 출발지 ip, port에서 192.168.175.183의 모든 포트로 가는 ip패킷에 대하여 출발지ip와 목적지ip가 같은 ip패킷을 탐지한다.

 

 

공격자

src_ip, dst_ip가 같은 syn패킷을 출발지포트 1000에서 도착지포트 80번으로 포트번호를 1씩 증가시키면서 50개 전송한다.

 

탐지결과

탐지룰과 공격패턴대로 msg 옵션에 의해 "to detect land attack" 메시지가 출력되면서 landattack이 탐지되었고

출발지 ip와 도착지 ip가 같은 패킷이 포트번호를 1씩 증가시키면서 전송됨을 알수있다.