| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- sinature
- Reassembly
- 탐지
- header dos
- TLS
- IDS
- dsize
- snort
- 시그니처
- Suricata
- HTTP2
- 크롬 탐지
- isdataat
- SSL
- signatrue
- 오탐
- 재조합
- rule
- IPS
- slowloris
- 미탐
- 암호화
- idps
- chromium 탐지
- chrome 탐지
- 수리카타
- DDOS
- stream_size
- flowbits
- stream buffer
- Today
- Total
목록Keyword(Option) (3)
linefilt
새로운 키워드(옵션)의 필요 (streambtis)
특정 트래픽들을 탐지하기 위해서 snort 및 suricata에서는 단순 문자열 매치뿐만 아니라 TCP 헤더에 관한 여러 가지 키워드를 제공하고 있다. flowbits나 stream_size 등이 이 경우에 포함이 된다. flowbits는 한 번에 식별할 수 있는 버퍼(chunk-size)를 초과하는 경우에 사용하기도 하며, stream_size는 세션에서 처음 시퀀스를 기준(seq 0)으로 절대 위치를 식별하거나 클라이언트 또는 서버가 전송한 bytes의 양을 측정할 수 있다. 위와 같은 옵션에도 불구하고 일부 상황에서는 특정 세그먼트들을 탐지하기 어려움이 있다. 1. 암호화 스트림을 식별하기 위해서 dsize를 연속적으로 매치해야 하는 경우가 발생 flowbits는 시퀀스를 식별하지 않아 "TCP o..
threshold
IDS 및 IPS의 로그는 일반적으로 방화벽보다는 더 많은 정보를 제공하기 때문에 유용하게 사용할 수 있다. 하지만 관리자 입장에서 기록은 되어야 하나 우선순위가 낮은 로그도 있을 수 있으며, 중복적으로 발생하는 로그들로 인해서 불필요한 쓰레기 값으로 취급될 수 있다. threshold는 이처럼 불필요한 로그를 줄이는데 사용할 수 있다. threshold: type , track , count , seconds ; threshold type은 limit, threshold, both 3가지가 있다. limit: limit은 seconds 동안 count 만큼 까지만 로그를 발생시킨다. threshold: type threshold, track by_src, count 7, seconds 60 60초 동안..
isdataat
아래 글은 suricata 기준에서의 isdataat에 대한 동작 설명이다. isdataat은 특정 위치(커서)에 페이로드 값의 존재 여부를 검증하는데 사용된다. isdataat의 옵션으로 제공되는 relative는 마지막으로 매치된(룰 상에서 바로 좌측에 위치한) content로 부터 기준 하기 때문에 부분적인 길이를 매치하는데에도 사용할 수 있고 negate "!"를 통해서 페이로드가 존재하지 않은 경우에 대하여도 사용가능하다. 1. 페이로드의 길이 보장 관리자는 100바이트 크기를 가지는 Cookie 필드에 "userID=sysadmin" 라는 값이 있는 요청에 대하여 통계 내려고 할 때, (Cookie 헤더는 가장 마지막에 위치한다고 간주) "userID=sysadmin" 값은 Cookie 필드 ..