스노트 탐지실습2(pingofdeath)

pingofdeath?

공격할 시스템에 비정상적인 icmp패킷을 대량으로 전송하여 시스템 자원을 무의미하게 소모시켜 대상 시스템을 충돌시킨다. 내부자원의 소모율을 높여 네트워크 성능을 저하시킴.

pingofdeath 공격을 탐지하기위해 임계값 설정을 해야함. 그렇지않으면 일반적인 icmp 요청까지 탐지대상에 들어간다.

임계값 설정을 통해 정상 핑요청과 악의적 핑요청을 구분할 필요가있음.

 

룰패턴

 

출발지 모든 ip,port에서 192.168.175.183의 모든포트로 가는 icmp 패킷 중에서 매2초마다 10번 카운트 될시 한번 경고알람을 발생시킨다.

 

 

공격자

 

공격대상 시스템에 많은양의 ICMP 패킷을 전송함.

 

 

탐지결과

 

많은 양의 ICMP가 전송된것을 룰에의해 잘 탐지하고 있는것을 확인가능.