Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- Suricata
- 미탐
- stream_size
- 암호화
- rule
- stream buffer
- Reassembly
- SSL
- 크롬 탐지
- slowloris
- DDOS
- signatrue
- 탐지
- IPS
- 오탐
- header dos
- IDS
- 시그니처
- isdataat
- snort
- TLS
- chromium 탐지
- flowbits
- chrome 탐지
- 재조합
- idps
- sinature
- dsize
- HTTP2
- 수리카타
Archives
- Today
- Total
목록streambits (1)
linefilt
새로운 키워드(옵션)의 필요 (streambtis)
특정 트래픽들을 탐지하기 위해서 snort 및 suricata에서는 단순 문자열 매치뿐만 아니라 TCP 헤더에 관한 여러 가지 키워드를 제공하고 있다. flowbits나 stream_size 등이 이 경우에 포함이 된다. flowbits는 한 번에 식별할 수 있는 버퍼(chunk-size)를 초과하는 경우에 사용하기도 하며, stream_size는 세션에서 처음 시퀀스를 기준(seq 0)으로 절대 위치를 식별하거나 클라이언트 또는 서버가 전송한 bytes의 양을 측정할 수 있다. 위와 같은 옵션에도 불구하고 일부 상황에서는 특정 세그먼트들을 탐지하기 어려움이 있다. 1. 암호화 스트림을 식별하기 위해서 dsize를 연속적으로 매치해야 하는 경우가 발생 flowbits는 시퀀스를 식별하지 않아 "TCP o..
Keyword(Option)
2019. 5. 25. 14:14