tbsd라는 네트워크 스캐닝 공격을 탐지 하는 툴로, 가볍고 성능도 괜찮은 것 같아서 아직도 사용중입니다.
이번에 이것을 설치, 운영하는 방법에 대해 알아 보겠습니다.
이 글을 작성하지 좀 오래되어 버전이 낮게 보여지나, 최신 버전에서도 무리없이 설치가 가능할 것으로 생각됩니다.
(레드햇 8.0까지는 설치해 사용해 보았습니다.)

TBSD란?

“Threatness Based Scan Detector”(TBSD)는 네트워크 스캐닝 공격을 탐지하는 도구로 TCP, UDP, ICMP 프로토콜을 지원한다. 세션별로 위협도를 설정하여, 특정 타임 프레임 범위내에서 위협도 limit 값을 초과하는 비 정상적인 스캔 공격을 탐지한다. 스캔 공격에 대한 요약 보고 기능과, 공격 탐지시 공격 호스트에 대한 지속적인 세션을 기록하는 기능이 있어, 공격자 모니터링도 할 수 있다. 사이트 특성을 잘 반영할 수 있도록 위협도 테이블을 설정하여 사용한다면, 상당히 좋은 보안 도구가 될 것이다
현재 더이상의 버전 업은 없는 것 같고, 관련 사이트도 존재하지 않는 것 같다.

tbsd 다운 받기

http://www.securitymap.net/ 이나 초심 자료실에서 다운 받으시기 바란다.
달리 사이트는 운영되지 않는 것 같다.

tbsd 설치하기

[root@www util]# rpm -qa|grep libpcap <== libpcap이 필요해서 미리 체크함..
libpcap-0.4-39

libpcap이 설치되어 있어도 상관없다.. tbsd-1.17에 libpcap이 함께 배포하고 있으니..

[root@www util]# tar xvfz tbsd-1.17.tar.gz
[root@www util]# cd tbsd-1.17
[root@www tbsd-1.17]# ./configure
config tbsd tbsdroot /usr/local/tbsd
config tbsd tbsduser root
tbsd requires libpcap-0.4. To install the package do these:

zcat libpcap-0.4.tar.Z | tar xf –
cd libpcap-0.4
./configure
make

libpcap-0.4 가 필요하다고 한다.. 그럼 우선..
[root@www tbsd-1.17]# tar xvfz libpcap-0.4.tar.Z
[root@www tbsd-1.17]# cd libpcap-0.4
[root@www libpcap-0.4]# ./configure
[root@www libpcap-0.4]# make
[root@www libpcap-0.4]# cd ..
[root@www tbsd-1.17]# ./configure <== 다시 하면 정상적으로 configure함..
config tbsd tbsdroot /usr/local/tbsd
config tbsd tbsduser root
creating Makefile
creating src/Makefile
creating src/config.h
creating scripts/Makefile
creating scripts/ctltbsd
creating scripts/report
creating scripts/scantype
creating scripts/scansum
creating scripts/tbsd.daily
creating scripts/rcalog
done.
[root@www tbsd-1.17]# make
[root@www tbsd-1.17]# cp src/tbsd.conf.dist src/tbsd.conf
[root@www tbsd-1.17]# vi src/tbsd.conf

trusted_nets: {
127.0.0.0/8
211.xx.xxx.xx <== 아피이 입력
}

[root@www tbsd-1.17]# make install <== root로 실행해야 함..

/usr/local/tbsd 가 새로운 생성됨..

[root@www tbsd]# /usr/local/tbsd/bin/tbsd <== 실행(root로 해야 함)

/etc/cron.daily 로 이동..
[root@www cron.daily]# vi tbsd

/usr/local/tbsd/bin/tbsd.daily
저장후 chmod 755 로 만들어준다..

그럼 이제부터 스캐닝에 관한 정보를 root 메일로 발송을 해 줄것이다..
무지 설치가 간단하다..
하지만 해당 로그를 분석하려면 약간 시간이 걸릴것이다.
아래를 참고해 해당 로그를 분석해 보기 바란다.

로그분석하기

—————————————————–
Daily Netscan Detection Report

Scan-type Hosts
——— —–
tcp.mixed 2
udp.137 1
——————————————————
mixed는 스캔의 특징을 구분할수 없는 경우 통칭하며, 패킷분실등으로 인한 탐지오류를 혼합형 스캔으로 잘못 인식할수 있음.
tcp를 혼합형 스캔을 2곳으로 스캔
udp 137 번을 1곳에서 스캔했다는 뜻이다..

————————————————————————
Address Thr-val N-conn Idle Scan-type
————— ——- —— —– ———
67.41.194.17 1002 12 13414 tcp.mixed
24.145.146.51 802 8 21347 udp.137
210.53.1.47 700 7 23971 tcp.mixed
————————————————————————-
Thr-val은 해당 스캔의 위험도를 나타내는 수치이고, 400이상은 스캔 공격으로 간주하고 있다.
N-conn 은 해당 이벤트가 일어난 수로 스캔의 횟수로 보면 될것이다.
iddle은 해당 보고서 작성당시로 부터 최종 스캔이 이루어진 시간의 차를 초로 표시한것이다.
즉 67.41.194.17은 13414초 이전에 이루어졌다는 말이다.(보고서 작성 시점부터)

—————————————————————————
udp.137 thr 802 events 8 idle 21347
Mar 16 22:06:05 24.145.146.51 > 61.xx.xxx.xxx icmp 40 echo_q 45 v 100
Mar 16 22:06:05 24.145.146.51 > 211.xxx.xxx.21 icmp 40 echo_q 45 v 100
Mar 16 22:06:36 24.145.146.51:1943 > 61.xx.xxx.xxx:139 tcp 28 S 109 v 100
Mar 16 22:06:36 24.145.146.51:1950 > 211.xxx.xxx.21:139 tcp 28 S 109 v 100
Mar 16 22:06:38 24.145.146.51:137 > 211.xxx.xxx.21:137 udp 58 109 v 200
Mar 16 22:07:10 24.145.146.51:2099 > 61.xx.xxx.xxx:80 tcp 28 S 109 v 1
Mar 16 22:07:12 24.145.146.51:137 > 61.xx.xxx.xxx:137 udp 58 109 v 200
Mar 16 22:07:12 24.145.146.51:2126 > 211.xxx.xxx.21:80 tcp 28 S 109 v 1
—————————————————————————-
thr은 위험도이고, events는 스캔 횟수이다..
각각의 이벤트는
시간, 출발지 IP 주소, 출발지 포트번호, 목적지 IP 주소, 목적지 포트번호, 프로토콜, 패킷 크기, tcp 플래그, TTL 그리고 위험도(threatness) 를 나타낸다..

tcp.mixed.R은 접속 프로토콜이 tcp이고 도착지 포트의
특징이 혼합형(mixed)이며, 초기 패킷의 flag가 SYN이 있는 대신 스텔스스캔
(stealth scan)의 한가지 유형인 RSET임을 뜻한다.

참고)
출발지 포트번호가 1,024보다 작은 예약(reserved) 포트로 스캔공격시 출발지 포트로는 자주 사용하지 않는다.
도착지 호스트의 IP 주소가 불규칙적으로 변하며 도착지 포트번호 역시 1,024보다 커서 스캔 공격에 자주 사용하지 않는 비효율적인 포트들이다.

TTL 은 Time To Live의 약어로 몇 단계까지의 라우터를 거칠때까지 패킷이 손실되지 않고 전달되도록 할 것인지에 대한 설정이다. 라우터는 패킷을 통과시킬때마다 TTL 값을 하나씩 감소시키며 결국 TTL이 0이 되면 더이상 라우터를 통과하지 못하는 것이다.
즉, TTL이 0 이라면 같은 네트워크 안에서만 패킷이 흐를 것이며 1 이상이어야 다른 네트워크로 전달될 수 있으며 멀티캐스트에서는 보통 32이라면 같은 소속 기관내의 네트워크에, 255라면 보통 전세계 네트워크를 뜻한다.

——————————————————————————
Mar 17 13:45:02 ipstat ip 11659 113 11659 113 1047876302 18
211.xxx.xxx.21 4293 47 4643 48
61.xx.xxx.xxx 3079 22 740 12
220.76.147.55 996 10 1114 10
211.49.150.27 572 5 557 5
192.168.82.1 468 9 0 0
192.149.252.22 412 2 166 2
203.248.240.141 384 3 247 3
165.243.5.15 345 4 363 4
210.94.6.106 288 4 480 4
210.180.98.91 169 1 71 1
202.30.50.50 153 1 71 1
210.117.65.100 138 1 83 1
218.145.70.1 136 2 248 2
211.216.50.150 127 1 71 1
198.133.199.110 99 1 82 1
255.255.255.255 0 0 2208 8
192.168.82.255 0 0 468 9
224.0.1.24 0 0 47 1
———————————————————————————

이것은 네트워크 사용량을 분석한 것으로 보고서 형태로 메일로 배달이 되지는 않는다..(5분 간격으로 체크함)
tbsd가 설치된 디렉토리(/usr/local/tbsd/log)로 가면 ipslog 파일이 있는데.. 이파일을 내용중 맨 끝부분이다.

맨 첫줄은 종합통계이다. 3월 17일 13시 45분, 통계종류(ipstat ip), 대상 호스트의 총 송신량(11659), 송신 패킷수(113), 대상 호스트의 총 수신량(11659), 수신 패킷수(113),
모든 호스트들의 통신량(1047876302), 호스트 수(18)를 차례로 표기한 것이다.
두번째 줄부터는 ip주소, 송신량, 송신패킷수, 수신량, 수신패킷수이다.

이 로그에서는 갑자기 수신량이나 수신 패킷이 늘어나면 로그를 철저히 분석할 필요가 있다.

$ sed -n ‘/Oct 11 07:00:00/,$p’ ipslog.0 | head -15 <== 오전 7:00 의 세부 기록중 처음 15줄을 출력
$ zcat ipslog.1.gz | grep ipstat | sed -n 73,82p <== 10월 10일자 사용량 기록
$ cat tbsdlog|grep “210.xx.xx.xxx:”|more <== 210.xx.xx.xxx 호스트의 접속 로그를 출력

tcpdump로 분석하기(공격이 의심될때)

/usr/local/tbsd/spool 의 화일을 살펴보면.. 알수 있다.
tbsd는 스캔 공격을 탐지하면 스캔 공격 호스트와의 통신 내용을 기록을 하고 있다.
하지만 spool에 있는 내용을 보기 위해서는 우선적으로 tcpdump를 설치를 해야 한다..
http://www.tcpdump.org/ 이나 rpmfind.net에서 다운 받아서 설치를 한다..
여기서는 rpmfind에서 rpm으로 다운 받아서 설치를 했다..

[root@dream rpm]# rpm -Uvh tcpdump-3.6.3-3.i386.rpm
Aغn A߅ ########################################### [100%]
1:tcpdump ########################################### [100%]

Tcpdump 는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들 을 출력해 주는 프로그램이다. 프로그램의 특성상, 네트워크 인터페이스를 아주 심도 있게 사용하기 때문에, 실행하는 사람은 반드시 네트워크 인터페이스에 대한 읽기 권 한이 있어야만 한다.

[root@dream spool]# rpm -qlf /usr/sbin/tcpdump
/usr/sbin/tcpdump
/usr/sbin/tcpslice
/usr/share/doc/tcpdump-3.6.3
/usr/share/doc/tcpdump-3.6.3/CHANGES
/usr/share/doc/tcpdump-3.6.3/README
/usr/share/man/man8/tcpdump.8.gz
/usr/share/man/man8/tcpslice.8.gz

[root@dream spool]# tcpdump -r pd.1047437815
14:15:50.730790 211.50.250.2.683 > dream.sunrpc: S 32803703:32803703(0) win 8760 (DF)
14:15:50.730842 dream.sunrpc > 211.50.250.2.683: R 0:0(0) ack 32803704 win 0 (DF)
18:41:24.344199 www.cespm.gob.mx.3283 > 61.xx.xxx.xxx.sunrpc: S 247457297:247457297(0) win 32120 (DF)
18:41:24.346211 61.xx.xxx.xxx.3287 > www.cespm.gob.mx.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
18:41:24.346833 www.cespm.gob.mx.3284 > dream.sunrpc: S 248290167:248290167(0) win 32120 (DF)
18:41:24.346883 dream.sunrpc > www.cespm.gob.mx.3284: R 0:0(0) ack 248290168 win 0 (DF)
18:41:27.318942 www.cespm.gob.mx.3283 > 61.xx.xxx.xxx.sunrpc: S 247457297:247457297(0) win 32120 (DF)
18:41:29.859526 61.xx.xxx.xxx.3287 > www.cespm.gob.mx.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
18:41:44.282512 61.xx.xxx.xxx.3287 > www.cespm.gob.mx.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
18:42:09.532545 61.xx.xxx.xxx.3287 > www.cespm.gob.mx.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
18:42:43.786816 61.xx.xxx.xxx.3287 > www.cespm.gob.mx.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
00:10:10.924369 mailer.ccnmag.com.60053 > dream.sunrpc: S 3831927552:3831927552(0) win 5840 (DF)
00:10:10.924408 dream.sunrpc > mailer.ccnmag.com.60053: R 0:0(0) ack 3831927553 win 0 (DF)

tcpdump 설치후 가장 최근의 spool의 파일을 읽어들인 것이다..
tbsd에 있는 예제파일에 있는 명령어는

$ tcpdump -Anr pd.970930874 host xx.xxx.209.70

실행시 되지 않았다. -A 옵션을 인식하지 못했다.
즉 host ip로 검색을 해 보려면..

$ tcpdump -nr pd.970930874 host xx.xxx.209.70

이처럼 해야 되었다..

tcpdump 의 옵션들..
========================================
-a : Network & Broadcast 주소들을 이름들로 바꾼다.
-c Number : 제시된 수의 패킷을 받은 후 종료한다.
-d : comile된 packet-matching code를 사람이 읽을 수 있도록 바꾸어 표준 출력으로 출력하고, 종료한다.
-dd : packet-matching code를 C program의 일부로 출력한다.
-ddd : packet-matching code를 숫자로 출력한다.
-e : 출력되는 각각의 행에 대해서 link-level 헤더를 출력한다.
-f : 외부의 internet address를 가급적 심볼로 출력한다(Sun의 yp server와의 사용은 가급적 피하자).
-F file : filter 표현의 입력으로 파일을 받아들인다. 커맨드라인에 주어진 추가의 표현들은 모두 무시된다.
-i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정한다. 지저되지 않으면 시스템의 인터페이스 리스트를 뒤져서 가장 낮은 번호를 가진 인터페이스를 선택한다(이 때 loopback은 제외된다).
-l : 표준 출력으로 나가는 데이터들을 line buffering한다. 다른 프로그램에서 tcpdump로부터 데이터를 받고자 할 때, 유용하다.
-n : 모든 주소들을 번역하지 않는다(port,host address 등등)
-N : 호스트 이름을 출력할 때, 도메인을 찍지 않는다.
-O : packet-matching code optimizer를 실행하지 않는다. 이 옵션은 optimizer에 있는 버그를 찾을 때나 쓰인다.
-p : 인터페이스를 promiscuous mode로 두지 않는다.
-q : 프로토콜에 대한 정보를 덜 출력한다. 따라서 출력되는 라인이 좀 더 짧아진다.
-r file : 패킷들을 ‘-w’옵션으로 만들어진 파일로 부터 읽어 들인다. 파일에 “-” 가 사용되면 표준 입력을 통해서 받아들인다.

-s length: 패킷들로부터 추출하는 샘플을 default값인 68Byte외의 값으로 설정할 때 사용한다(SunOS의 NIT에서는 최소가 96Byte이다). 68Byte는 IP,ICMP, TCP, UDP등에 적절한 값이지만 Name Server나 NFS 패킷들의 경우에는 프로토콜의 정보들을 Truncation할 우려가 있다. 이 옵션을 수정할 때는 신중해야만 한다. 이유는 샘플 사이즈를 크게 잡으면 곧 패킷 하나하나를 처리하는데 시간이 더 걸릴 뿐만아니라 패킷 버퍼의 사이즈도 자연히 작아지게 되어 손실되는 패킷들이 발생할 수 있기 때문이다. 또, 작게 잡으면 그만큼의 정보를 잃게되는 것이다. 따라서 가급적 캡춰하고자 하는 프로토콜의 헤더 사이즈에 가깝게 잡아주어야 한다.

-T type : 조건식에 의해 선택된 패킷들을 명시된 형식으로 표시한다. type에는 다음과 같은 것들이 올 수 있다. rpc(Remote Procedure Call), rtp(Real-Time Applications protocol), rtcp(Real-Time Application control protocal), vat(Visual Audio Tool), wb(distributed White Board)

-S : TCP sequence번호를 상대적인 번호가 아닌 절대적인 번호로 출력한다.
-t : 출력되는 각각의 라인에 시간을 출력하지 않는다.
-tt : 출력되는 각각의 라인에 형식이 없는 시간들을 출력한다.
-v : 좀 더 많은 정보들을 출력한다.
-vv : ‘-v’보다 좀 더 많은 정보들을 출력한다.
-w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다.
-x : 각각의 패킷을 헥사코드로 출력한다.
===========================================

tcpdump 실행 예..

tcpdump 실행시에는 꼭 콘솔상에서 한다.. 원격에서 실행하면.. 무한 루프처럼 계속 출력한다..

# tcpdump -t <== 원격이나 외부에 어떠한 접근만 이루어져두 엄청난 양의 데이타를 출력해 준다..

패킷의 발신지가apple이고 수신지는 banana가 아닌 패킷을 출력한다.
# tcpdump src host apple and not dst host banana <== 호스트명 대신에 아이피로 입력해두 됨..

(tcp 프로토콜 통신에서 123.45.67.89가 수신지나 발신지가 아닌 모든 SYN , FIN 패킷을 출력한다)
# tcpdump ‘tcp[13] & 3 != 0 and not net 123.45.67.89’

tcpdump를 설치를 하면.. /etc/passwd에 pcap이라는 유저가 추가가 된다..
상태를 확인해 보려면.. 아래의 명령어를 입력하면 된다..

# rpm -q –scripts tcpdump

preinstall scriptlet (through /bin/sh):
/usr/sbin/groupadd -g 77 pcap 2> /dev/null || :
/usr/sbin/useradd -u 77 -g 77
-s /sbin/nologin -M -r -d /var/arpwatch pcap 2> /dev/null || ( /usr/bin/chsh pcap /sbin/nologin 2> /dev/null || : )

tcpdump의 패킷을 분석하려면.. 아래의 주소를 참조해 보기 바란다..
http://www.whiterabbitpress.com/lg/issue86/vinayak.html