linefilt

특정 트래픽들을 탐지하기 위해서 snort 및 suricata에서는 단순 문자열 매치뿐만 아니라 TCP 헤더에 관한 여러 가지 키워드를 제공하고 있다. flowbits나 stream_size 등이 이 경우에 포함이 된다. flowbits는 한 번에 식별할 수 있는 버퍼(chunk-size)를 초과하는 경우에 사용하기도 하며, stream_size는 세션에서 처음 시퀀스를 기준(seq 0)으로 절대 위치를 식별하거나 클라이언트 또는 서버가 전송한 bytes의 양을 측정할 수 있다. 위와 같은 옵션에도 불구하고 일부 상황에서는 특정 세그먼트들을 탐지하기 어려움이 있다. 1. 암호화 스트림을 식별하기 위해서 dsize를 연속적으로 매치해야 하는 경우가 발생 flowbits는 시퀀스를 식별하지 않아 "TCP o..

무료 인증서의 보편화로 인하여 기업의 서비스 뿐만 아니라 개인 도메인에 대한 암호화에 대한 처리는 날이 갈수록 높아지는 상황에서, 특히 응용프로그램 제어 뿐만 아니라 악성 코드를 배포하기 위한 서버 또한 암호화 통신을 하여 제어하기 어렵게 만들고 있다. 전용 암복호화 장비나 HAproxy와 같은 리버스 프록시를 이용하여 종단 서버구간의 페이로드를 식별하는 방법이 있지만, 성능 문제나 일부 응용프로그램들은 복호화 불가능한 문제가 여전히 남아있다. Inspection이 불가능한 패킷을 TCP 헤더 및 SSL/TLS Handshake 패턴을 통한 제어 alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"web.telegram"; flow:to_server,establis..

악성행위에 사용되는 페이로드 단일 패킷 사이즈에 존재 할 수도 있고 다양한 상황에 따라 패킷의 경계부분에 위치하여, 분할되는 경우가 있을 수 있다. 그렇기 때문에 IDS, IPS에서 특정 패턴을 검사하기 위해서 스트림 재 조합 기능은 반드시 필요한 기능이다. 물론 사용되는 모든 룰들이 재 조합 기능을 필요로 하는 것은 아니나, 특정 상황에서는 오로지 재 조합되지 않은 단일 패킷만 검출해서 확인해야 하는 경우도 있다. raw 기반 (Transport Layer) 재조합은 시퀀스 번호와 같이 4계층에서 순서를 정렬할 수 있는 TCP만 지원한다. 룰 제작 측면에서 suricata reassembly 설정에 대하여 확인하며, 본 글에서는 크게 3가지 항목으로 분류로 진행한다. TCP 스트림 재 조합 깊이 (de..

아래 글은 suricata 기준에서의 isdataat에 대한 동작 설명이다. isdataat은 특정 위치(커서)에 페이로드 값의 존재 여부를 검증하는데 사용된다. isdataat의 옵션으로 제공되는 relative는 마지막으로 매치된(룰 상에서 바로 좌측에 위치한) content로 부터 기준 하기 때문에 부분적인 길이를 매치하는데에도 사용할 수 있고 negate "!"를 통해서 페이로드가 존재하지 않은 경우에 대하여도 사용가능하다. 1. 페이로드의 길이 보장 관리자는 100바이트 크기를 가지는 Cookie 필드에 "userID=sysadmin" 라는 값이 있는 요청에 대하여 통계 내려고 할 때, (Cookie 헤더는 가장 마지막에 위치한다고 간주) "userID=sysadmin" 값은 Cookie 필드 ..