4. IDS와 IPS 스노트 룰 패턴 탐지 실습

1. 패스 트래버설(Path Travaersal) 공격 탐지

- Msg / Content / Rev / Sid 옵션 활용

- 다음 공격을 탐지 하는 룰을 작성하도록 한다.

- 공격명 : Path Traversal

- 공격 패턴 : ../../../../../../../../../etc/passwd

 

Path Traversal 공격 수행

 

/etc/passwd 문자열 기록 룰 설정

vim /etc/nsm/rules/local.rules
sudo rule-update
sudo nsm --sensor--restart --only-snort-alert

 

정상적인 룰 동작 확인

 

2. 디렉터리 리스팅 공격 탐지

- 웹 서버에서 외부로 가는 패킷

- 메시지 : Directory Browsing Vuln

- 탐지 문자열 : index of /

- 대소문자 무시

- 클래스 타입 : web-application-attack

디렉터리 리스팅 확인

 

룰 세팅

 

룰 동작 확인

 

3. 크로스 사이트 스크립트(XSS) 공격 탐지

- 외부에서 웹 서버로 가는 패킷

- 메시지 : Persistent XSS in POST

- 탐지 문자열 : script%3e

- 대소문자 무시

- 클라이언트 바디에서 탐지

- 클래스 타입 : web-application-attack

크로스사이트 스크립팅 확인

 

룰 세팅

 

룰 동작 확인