IDS 로 많이 사용중인 오픈소스 스노트가 있다. 스노트로 제작된 관련 탐지 룰도 많이 찾아 볼 수 있고, 실제 무료/상업용 침입차단 패턴이 이 스노트 형태의 기반이 많다. 여기서 스노트를 다룰 것은 아니다. 다만, 패킷 분석이 많이 사용되는 영역중에 하나로 어떤 위협을 차단/탐지 하기 위한 패턴 작성을 빼 놓을 수 없다.
네트워크 상에서 흘러다니는 트래픽을 정확히 분석 판단하고 어떤 부분을 패턴으로 뽑아내어 사용할 것인가는 단순한 것부터 복잡한 것까지 다양하다.
시그너처 패턴 작성 후 올바로 탐지하는 것을 테스트 하기 위해 트래픽을 재 전송해 보고 한다. 이미 여기서 언급한 tcpreplay 나 기타 도구를 이용해 재전송해보는 것으로 내가 만든 패턴이 올바른지 확인할 수 있다.
앞서 소개한 PackIt 도구에서 유용한 유틸리티가 하나 있다. 그것은 스노트 룰을 PackIt 명령어로 만들어, 패킷을 전송할 수 있도록 도와주는 것이다. 스노트 룰의 QA 등과 같은 업무에는 나름 유용하게 사용할 수 있을 것이다.
다운로드는 다음의 경로에서 가능하다.
http://packetfactory.openwall.net/projects/packit/s2pgen.pl
이 파일은 펄(Perl) 스크립트로 간단히 만들어져 있는 것으로 룰 파일을 지정하면, packit 으로 검증해 볼 수 있게 명령어를 만들어 준다. 파일을 열어 첫 시작부분을 보면 주소 설정을 정의하는 부분이 있다. 시그너처 파일에서 룰을 읽어들여 파싱할때 필요한 기본 정보이다. 이 정보들만 여러분들의 네트워크 상황에 맞게끔만 조절하여 사용하면 된다.
# Defaults
$DEFAULT_PACKIT = "packit";
$DEFAULT_ADDR = "10.0.0.1";
$DEFAULT_DATA = "R";
# Host/Port definitions
$EXTERNAL_NET_ADDR = "10.0.0.1";
$HOME_NET_ADDR = "192.168.0.4";
$HTTP_SERVER_ADDR = "192.168.0.2";
$SQL_SERVER_ADDR = "192.168.0.3";
$SMTP_SERVER_ADDR = "192.168.0.4";
$TELNET_SERVER_ADDR = "192.168.0.5";
$AIM_SERVER_ADDR = "192.168.0.6";
$ORACLE_PORT = "1521";
$HTTP_PORT = "80";
$SHELLCODE_PORT = "81";
우선 스노트에서 제공하는 기본 룰 파일중 하나인 ddos.rules 파일을 가지고 만들어 보면 아래와 같다 :
# ./s2pgen.pl ddos.rules
echo
echo DDOS TFN Probe
packit -t icmp -s10.0.0.1 -d192.168.0.4 -p "0x 31 32 33 34" -SR -DR -K 8 -N 678
echo DDOS tfn2k icmp possible communication
packit -t icmp -s10.0.0.1 -d192.168.0.4 -p "0x 41 41 41 41 41 41 41 41 41 41" -SR -DR -K 0 -N 0
echo DDOS Trin00 Daemon to Master PONG message detected
packit -t udp -s10.0.0.1 -d192.168.0.4 -p "0x 50 4f 4e 47" -SR -D31335
echo DDOS TFN client command BE
packit -t icmp -s10.0.0.1 -d192.168.0.4 -SR -DR -K 0 -N 456 -Q 0
packit 을 통해 보내기 전 echo 로 어떤 패킷인지 출력해 주고 packit 명령어로 전송할 패킷 정보를 만들어 준다. 그리고, 스노트에서 탐지가 되는지 확인해 보면 된다.
시그너처 제작 업무를 하는 이들에겐 나름 도움이 될 것이다. 또는 이를 변형하여 원하는 형태의 도구를 이용하여 만들어보는 것은 어떨까?
이 파일은 펄(Perl) 스크립트로 간단히 만들어져 있는 것으로 룰 파일을 지정하면, packit 으로 검증해 볼 수 있게 명령어를 만들어 준다. 파일을 열어 첫 시작부분을 보면 주소 설정을 정의하는 부분이 있다. 시그너처 파일에서 룰을 읽어들여 파싱할때 필요한 기본 정보이다. 이 정보들만 여러분들의 네트워크 상황에 맞게끔만 조절하여 사용하면 된다.
# Defaults
$DEFAULT_PACKIT = "packit";
$DEFAULT_ADDR = "10.0.0.1";
$DEFAULT_DATA = "R";
# Host/Port definitions
$EXTERNAL_NET_ADDR = "10.0.0.1";
$HOME_NET_ADDR = "192.168.0.4";
$HTTP_SERVER_ADDR = "192.168.0.2";
$SQL_SERVER_ADDR = "192.168.0.3";
$SMTP_SERVER_ADDR = "192.168.0.4";
$TELNET_SERVER_ADDR = "192.168.0.5";
$AIM_SERVER_ADDR = "192.168.0.6";
$ORACLE_PORT = "1521";
$HTTP_PORT = "80";
$SHELLCODE_PORT = "81";
우선 스노트에서 제공하는 기본 룰 파일중 하나인 ddos.rules 파일을 가지고 만들어 보면 아래와 같다 :
# ./s2pgen.pl ddos.rules
echo
echo DDOS TFN Probe
packit -t icmp -s10.0.0.1 -d192.168.0.4 -p "0x 31 32 33 34" -SR -DR -K 8 -N 678
echo DDOS tfn2k icmp possible communication
packit -t icmp -s10.0.0.1 -d192.168.0.4 -p "0x 41 41 41 41 41 41 41 41 41 41" -SR -DR -K 0 -N 0
echo DDOS Trin00 Daemon to Master PONG message detected
packit -t udp -s10.0.0.1 -d192.168.0.4 -p "0x 50 4f 4e 47" -SR -D31335
echo DDOS TFN client command BE
packit -t icmp -s10.0.0.1 -d192.168.0.4 -SR -DR -K 0 -N 456 -Q 0
packit 을 통해 보내기 전 echo 로 어떤 패킷인지 출력해 주고 packit 명령어로 전송할 패킷 정보를 만들어 준다. 그리고, 스노트에서 탐지가 되는지 확인해 보면 된다.
시그너처 제작 업무를 하는 이들에겐 나름 도움이 될 것이다. 또는 이를 변형하여 원하는 형태의 도구를 이용하여 만들어보는 것은 어떨까?
다음 도구도 참고하세요.
답글삭제http://code.google.com/p/rule2alert/
혹시 위에 말씀하신 개인의 네트워크 환경에 따른 설정 부분에 SMTP, AIM, TELNET 주소값은 어떻게 확인하나요???
답글삭제