요점정리

 * 스노트 규칙을 사용한 공격 탐.  iptables 로깅 형식은 매우 완전하기 때문에 psad는 애플리케이션 계층 기준이 없는 스노트 규칙과 매칭되는 트래픽을 탐지할 수 있다. 예를 들어 다음과 같은 스노트 규칙을 생각해보자. 이 규칙은 출발지 포트가 10101이고 승인 값이 0이며 SYN 플래그가 설정됐고, IP 헤더의 TTL 값이 220보다 큰 TCP 패킷을 찾는다. alert tcp $EXTERNAL_NET 10101 […]

Continue reading about 7.psad 고급 주제: 서명 매칭에서 OS 핑거프린팅까지