Iptables
* fwsnort 탐지와 psad 동작의 결합 fwsnort는 공격을 탐지하면 iptables 로그 메시지를 생성한다. 이 메시지는 사용자에게 해당 로그 메시지를 촉발한 스노트 규칙 ID, fwsnort 체인내의 규칙 번호, 패킷이 수립된 TCP 세션의 일부인지 여부를 알려주는 로그 접두어를 포함한다. ** WEB-PHP Setup.php access 공격 스노트 규칙 ID 2281은 미디어위키 소프트웨어(원래는 위키피디아를 보조하기 위해 설계된 소프트웨어다. http://en.wikipedia.org/wiki/Mediawiki 참조)의 […]
* 들어가며.. 스노트 규칙을 항상 깔끔하게 변활할 수는 없으며, 스노트 규칙 언어는 매우 복잡하기 때문에 fwsnort는 스노트 버전 2.3.3 에 포함된 규칙의 약 60% 정도를 변환할 수 있다. fwsnort가 전체 스노트 서명 집합을 iptables 규칙으로 변활할 수는 없지만 fwsnort 는 항상 네트워크 트래픽에 인라인으로 배치된다. 스노트는 주로 수동적 전략으로 배치되며 네트워크 트래픽에서 수상한 활동을 감시하는 […]
* 침입 방지와 능동적 응답 오늘날 나와 있는 다양한 보안 제품, 기술, 솔루션에서 침입 탐지라는 용어는 큰 주목을 받아왔다. 이러한 주목의 대다수는 이 용어가 주는 지나치게 강한 의미에서 나온것으로 보인다. 물론 보안 침부를 사전에 방지한다는 개념 자체가 장점이 없다는 뜻은 아니다. 다만 침입 탐지 기술은 호스트 수준 스택 강화 기법(http://pax.grseurity.net 의 PaX 프로젝트 참조)에서부터 악의적인 […]
* iptables를 이용한 애플리케이션 계층 문자열 매칭 모든 IDS가 가지는 가장 중요한 기능 중 하나는 애플리케이션 계층 데이터에서 악의적인 바이트를 암시라는 바이트 나열을 검색하는 것이다. 그러나 일반적으로 애플리케이션의 구조는 네트워크나 전송 계층 프로토콜보다 훨씬 덜 엄격하게 정의되기 때문에 침입 탐지 시스템은 애플리케이션 계층 데이터를 조사할 때 융통성을 가져야 한다. 네트워크 트래픽에서 애플리케이션 부분 전체에 대해 […]
TCP는 연결형 프로토콜이다. 이는 클라이언트와 서버가 실제 데이터 교환 이던에 데이터 전송 방법을 정의하는 매개변수들을 협의하며 연결의 시작과 끝에 명확한 구분이 있다는 뜻이다. TCP 는 두 노드 사이에서 신뢰할 수 있고 순서를 유지하는 방식으로 데이터를 전송하므로 애플리케이션 계층 프로토콜은 이런 기능을 자체적으로 내장할 필요가 없다. 반면 UDP 는 비연결형 프로토콜이다. 그러므로 데이터가 의도된 목적지에 도달하리라는 […]
Recent Comments