land attack? 출발지 ip주소와 목적지 ip주소 값을 똑같이하여 보내는 공격 시스템은 공격자가 보낸 syn패킷의 출발지 ip주소를 참조하여 목적지 ip주소를 패킷의 출발지 주소로 설정하여 보낸다. 따라서 패킷은 네트워크 밖으로 나가지않고 자기자신에게 돌아오므로 이상상태에 빠진다. 탐지패턴 모든 출발지 ip, port에서 192.168.175.183의 모든 포트로 가는 ip패킷에 대하여 출발지ip와 목적지ip가 같은 ip패킷을 탐지한다. 공격자 src_ip, dst_ip가 같은 syn패킷을 출발지포트 1000에서 도착지포트 80번으로 포트번호를 1씩 증가시키면서 50개 전송한다. 탐지결과 탐지룰과 공격패턴대로 msg 옵션에 의해 "to detect land attack" 메시지가 출력되면서 lan..

룰옵션? 룰옵션은 패턴/시그니처를 입력하여 룰헤더에 만족하는 패킷을 대상으로 탐지한다.

snort? 프로토콜 분석, 컨턴츠 검색, 웜, 취약점 공격, 포트스캔, 버퍼 오버플로우 등 다양한 공격을 탐지하는 오픈소스 IDS이다. 스노트 설정파일 경로 /etc/snort/snort.conf 스노트 규칙파일 경로 /etc/snort/snort.rules downloaded.rules - 기본으로 제공되는 스노트 규칙파일 local.rules - 사용자가 정의한 스노트 규칙파일 스노트는 룰헤더, 옵션으로 나누어져 있다. 룰헤더는 특정 트래픽을 그룹핑하여 검사할 패킷을 결정한다. 룰옵션은 패턴/시그니처를 입력하여 룰헤더에 만족하는 패킷을 대상으로 탐지한다.

TTL값이 128 - 윈도우 64 -리눅스 IP헤더의 Identification 필드의 값은 패킷을 전송할때 패킷이 MTU보다 커서 패킷이 분할될 때 같은 패킷임을 확인시켜주는 역할을 한다. PROTOCOL 필드는 TCP, ICMP등 상위 프로토콜을 설정하는 필드이다. tos식별자는 iptv, 전화 등 서비스의 우선순위를 정해주는 필드이다. 예시) 인터넷에서 토렌트 영화를 받는다고해서 통화가 끊기지 않도록 우선순위를 정해준다. FAGES필드 - don’t fragment 플레그가 0번이면 단편화를 하는 것이고 1번이면 단편화를 하지않도록 강제하는 것. More fragments 플래그가 1번으로 세팅되면 뒤에 단편화된 패킷이 더있다는 뜻. 만약 마지막단편을 분석한다면 more fragments 플래그는 ..

클래스별 IP주소를 쪼개서 사용하는 것. 네트워크 주소 하나로 여러개의 네트워크를 구성할 수 있다. 서브네팅의 필요성 IP주소가 한정적이고 제한되어 있으므로 전체주소를 한기관에서 다 쓰는것은 IP주소의 낭비를 불러오기 때문. 서브네팅의 장점 네트워크 트래픽의 감소 브로드캐스트 도메인의 크기 감소 네트워크 문제발생시 분리 및 장애대응 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 ,192.168.4.0/24 총 5개의 네트워크 대역이 부여되었다. 라우터 연결구간의 192.168.1.0/24 ,192.168.2.0/24 ,192.168.3.0/24 3개의 구간에서는 라우터 인터페이스를위한 2개의 주소만 할당하면되는데 많은 ip의 비효율이 발생..