Ping of Death(죽음의 핑) 공격 탐지 룰 생성

[복습]

일반옵션
흐름옵션: 패킷 방향과 세션 연결 상태 조건 검색
                 to_server, from_server, to+client, from_server etablished, stateless
                 ex) flow: to_server, established;
페이로드 옵션: content, prec, depth, distance
프로토콜 옵션 : ip header 필드, tcp header필드, http header 필드...

 

Ping of Death(죽음의 핑) 공격 탐지 룰 생성

**주의사항: 이전에 만들어 놓았던 룰들 중 ICMP Ping Test는 주석처리를 해야함. Sguil 오류로 인해 NIDS 다운될 수 있음**

**오류로 인해 캡처 불가(추후 다시 업로드)**

 

1. [Kali] Ping of Death 공격

# hping3 --icmp --rand-source 192.168.10.20 -d 2000 --flood

 

2. WireShark를 통해 공격패턴탐지

 

3. [NIDS] 탐지 룰 생성과 적용

조건    Detection rule name: Ping of Death X class / SID: 3000004

 

[만든 탐지 룰]

alert icmp any any > any any ( msg: "Ping of Death X Class"; content:"|585858|"; threshold:type both,track by_src,count 50, seconds 10; sid:3000004; )

 

4. [Kali] Ping of Death 공격

# hping3 --icmp --rand-source 192.168.10.20 -d 2000 --flood

 

5. [NIDS] Sguil을 통해 Ping of Death 공격 탐지 확인