포트스캔? 포트스캔이란 운영중인 서버에 열려있는 TCP/UDP 포트를 검색하는 행위. 취약점 점검이나 공격을 위한 정보수집에 활용될 수 있다. 룰옵션 스캔할 대상 시스템의 22번 포트로 들어오는 TCP 패킷중에 FIN, UPR 이거나 플래그가 설정되지 않는 패킷을 탐지한다. 공격자 nmap -sN 192.168.175.183 / NULL 스캔 nmap -sF 192.168.175.183 / FIN 스캔 nmap -sX 192.168.175.183 / XMAS 스캔 탐지결과 스노트 룰에의해 FIN, NULL, XMAS 스캔을 성공적으로 탐지

path traversal? 파일 다운로드 기능이 존재하는 웹 애플리케이션에서 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하는 경우에 파일에대한 접근권한이 설정되어 있지않을 경우 공격자가 파라미터를 조작하여 서버의 중요자원을 다운받을 수 있는 취약점. 탐지룰 공격대상 시스템에 path traversal 공격 패턴인 ../../etc/passwd 패턴을 대소문자 구분없이 탐지하는 룰 공격자 owasp-zap툴을 활용하여 공격대상 시스템에 path traversal 공격을 수행함. 탐지결과 스노트 탐지패턴에 의해 path traversal 공격이 잘 탐지되었다.

pingofdeath? 공격할 시스템에 비정상적인 icmp패킷을 대량으로 전송하여 시스템 자원을 무의미하게 소모시켜 대상 시스템을 충돌시킨다. 내부자원의 소모율을 높여 네트워크 성능을 저하시킴. pingofdeath 공격을 탐지하기위해 임계값 설정을 해야함. 그렇지않으면 일반적인 icmp 요청까지 탐지대상에 들어간다. 임계값 설정을 통해 정상 핑요청과 악의적 핑요청을 구분할 필요가있음. 룰패턴 출발지 모든 ip,port에서 192.168.175.183의 모든포트로 가는 icmp 패킷 중에서 매2초마다 10번 카운트 될시 한번 경고알람을 발생시킨다. 공격자 공격대상 시스템에 많은양의 ICMP 패킷을 전송함. 탐지결과 많은 양의 ICMP가 전송된것을 룰에의해 잘 탐지하고 있는것을 확인가능.

로봇 배제 표준? 웹사이트에 로봇이 접근하는 것을 방지하기 위한 규약을 의미한다. 접근제한에 대한 설명을 robots.txt 에 작성 robots.txt 파일은 해당페이지의 루트 디렉토리에 위치해야 함. ex) 모든 검색로봇 접근 차단. User-agent: * Disallow: / 모든 검색로봇 접근 허용. User-agent: * Allow: / 모든 pdf 파일 차단 -> 끝이 .pdf로 끝나면 차단 User-agent: * Disallow: /*.pdf$ 특정 검색로봇만 허용/나머지 봇 차단 User-agent: Googlebot User-agent: Slurp Allow: / 특정 폴더만 접근 금지 User-agent: * Disallow: /폴더명/ 검색로봇 네이버 - Yetibot, 다음 -..

검색엔진을 이용한 정보수집방법. 아래 표는 구글의 고급 검색기능표임. ex) site: co.kr admin -> co.kr이 있는도메인에서 admin문자열을 검색 intitle:index of name size -> 디렉토리 리스팅 취약점을 가진 사이트 검색할 때 사용. inurl:/admin/index.html -> .html로 끝나면서 admin/index.html이 이있는 사이트를 검색. site:kr inurl :/admin/ -> kr 도메인의 admin페이지 검색 filetype:zip inurl:backup -> 백업파일 검색

디렉토리 인덱싱? 웹 애플리케이션을 사용하는 서버에 인덱싱 기능이 활성화 되어있다면 공격자가 강제 브라우징하여 서버내의 모든 디렉토리 및 파일 및 주요정보를 노출시키는 취약점. 실습사이트 testphp.vulnweb.com/images/ Index of /images/ testphp.vulnweb.com 예를들어 testphp.vulnweb.com/image/login.asp 가 정상 url 일때 가장 끝에 login.asp를 지우고 testphp.vulnweb.com/image 디렉토리까지만 인덱싱하여 요청시 디렉토리 인덱싱 취약점이 있다면 image폴더 밑의 자원들이 보여지게 된다.