linefilt

raw stream based Slowloris Slowloris는 서버의 가용 자원을 최대한 낭비하여 DoS를 유발하는 공격으로 일반적인 Flooding 공격과 달리 단순한 임계 값으로는 확인할 수 없으며, 문자열 식별 방식 또한 한계를 가지고 있다. 리버스 프록시나 HTTP 서버 등 최종 Termination 역할을 하지 않는 대부분의 보안장비에서, Slowloris 공격을 탐지하는 방식으로 HTTP 메시지에서 0x0d0a0d0a가 없는 세그먼트를 탐지한다. 이 방법은 대부분 간단한 테스트를 진행하는 방식에 초점이 맞춰져 있기 때문에 실제 트래픽에 이러한 탐지 방법을 적용하는 것은 무리가 있다. 이 문서에서는 문자열 탐지 방식에 적합한 Suricata를 사용하여 Slowloris 공격의 오탐을 최소화..

Snort, Suricata는 TCP 재조합과 HTTP 파서를 제공하기 떄문에, TCP Segmentation이나 우회하는 공격을 탐지할 수 있다. 그러나 파서의 식별 처리 범위를 넘어서는 데이터 길이로 구성된 패킷 간의 탐지 또는 별도의 트랜잭션 메시지와 처럼 개별적인 패킷 간의 탐지를 위해서는 flowbits를 사용하여 chain을 구성해야 한다. 그럼에도 불구하고 flowbits는 multiplexing을 기본적으로 지원하는 HTTP2에서는 견고한 탐지를 위해 사용하기는 어렵다. flowbits는 동일한 5-Tuple을 기준으로 flow를 식별하기 때문에 HTTP2 내부의 multiplexing이 존재하더라도 동일한 존재로 보일뿐이다. 사용자는 stream 2의 Header와 Data를 조건으로 하..

GREASE(Generate Random Extensions And Sustain Extensibility)는 크롬 55버전 부터 추가된 필드이다. 이 필드를 통해서 현재 Chromium 기반의 브라우저를 탐지하는데 사용할 수 있다. GREASE의 목적은 TLS 통신에서 서버의 버그를 사전에 발견하고 프로토콜 확장에 따라 발생하는 문제를 방지하고자 하는 것이다. SSL/TLS에서는 데이터를 교환하기 이전에 핸드쉐이킹을 통해서 버전 및 암호화에 필요한 정보를 교환한다. 클라이언트가 서버로 전송하는 ClienHello에 TLS 1.2을 명시하고 전송했을 때, TLS 1.2을 지원하는 서버라면 이에 대하여 정상적인 ServerHello를 통해서 응답을 진행한다. 만약 서버가 TLS 1.2를 지원하지 않는다면,..

TCP 스트림은 재조합을 지원하기 때문에 문자열 분할에 대해 크게 문제될 것은 없다. 하지만, 문자열 패턴이 아닌 순수한 스트림 또는 트래픽 양을 확인해야 하는 경우에는 탐지하기 곤란하거나 고려해야 할 요소들이 훨씬 많아질 수 있다. 이런 요소들 중 TCP Out-Of-Order (OOO) 또는 segment loss는 연속된 스트림에서 TCP segement의 양을 측정하는 것을 매우 어렵게 만든다. 아래 내용은 TCP OOO와 segment loss가 정확히 몇번 발생했는지 등의 완전성을 목표하지 않는다. 이런 현상이 발생하는 빈도를 탐지하는 것을 목표(실시간 완전 탐지는 어려움이 존재)로 하며, Suricata IPS(Inline)모드를 사용하여 탐지한다. suricata는 기본적으로 설정된 chu..

CPU: E5-2620v4 (HT enabled), RAM: 48GB, Ethernet: Intel X540-T2 suricata 5.0.0-beta1, fedroa29 4.18.16-300 flow-timeout tcp: new: 5 established: 600 closed: 10 bypassed: 600 emergency-new: 5 emergency-established: 100 emergency-closed: 10 emergency-bypassed: 50 loaded rules suricata.rules: 20498 signatures processed. 1227 are IP-only rules, 6384 are inspecting packet payload, 12564 inspect appli..