Download presentation
Presentation is loading. Please wait.
1
Snort 시그니처 기반의 애플리케이션 탐지 정보보안학과 이 상 화
2
목 차 Snort 란? 패킷의 구조 및 배경 지식 Snort Rule의 구조 애플리케이션 탐지 및 차단
3
Snort Snort is a free and open source network intrusion prevention system (NIPS) and network intrusion detection system(NIDS) created by Martin Roesch in 1998. 출처 :
4
Snort 통과 기록 차단 통과 1. 남자, 짧은 머리, 빨간 옷 착용 (기록 후 접근 허용)
2. 여자, 긴 머리, 검은 옷 착용 (접근 금지) 3. 남자, 짧은 머리, 흑인 (접근 허용)
5
Snort 악성 패킷 Server Internet 정상 패킷 Client 악성 패킷 Client
6
패킷의 구조 및 배경지식 A network packet is a formatted unit of data carried by a packet-switched network. 출처 :
7
패킷의 구조 및 배경지식 90 9f 33 4a 6a c2 b2 d 01 f4 13 3e a9 33 c0 a ca b3 b1 15 c5 be bf a6 aa ab 50 18 d f 2f 31 2e 31 0d 0a a f d 6c 2c c f 6e 2f d 6c 2b 78 6d 6c 2c 20 2a 2f 2a 0d 0a d 4c 61 6e 67 a 20 6b 6f 2d 4b 52 0d 0a 72 2d e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e e 64 6f e 54 e 31 3b e 74 2f 37 2e 30 3b a e c 69 6b 65 b 6f 0d 0a d 45 6e 63 6f e 67 3a a c 20 64 c d 0a 48 6f a 77 2e 6e e 63 6f 6d 0d 0a 44 4e 54 3a d 0a 43 6f 6e 6e f 6e 3a 20 4b d 41 6c d 0a 43 6f 6f 6b a d 31 3b 20 6e d 30 3b 20 4e 4e 42 3d 4e 37 41 e b 3b 20 6e 3d c f 78 4e c 42 4a 35 4d c a f f d 53 6d 6b 35 d 3d 3b 20 4e d e 75 b 20 6e f c c 3d 31 3b f d b f a 4d d d 0a 0d 0a .....P..6 A...P. ......GET / HTTP /1.1..Accept: te xt/html, applica tion/xhtml+xml, */*..Accept-Lang uage: ko-KR..Use r-Agent: Mozilla /5.0 (Windows NT 6.1; Trident/7. 0; rv:11.0) like Gecko..Accept-E ncoding: gzip, d eflate..Host: ww w.naver.com..DNT : 1..Connection: Keep-Alive..Coo kie: tbx=1; nref reshx=0; NNB=N7A PABUNR43VK; npic =hpLgBoxNUrAq7iP E1LBJ5MAQ7IbHSpi ECwVsHcLCHJSeYdo 610xsOx46UwMSmk5 tCA==; NaverSugg estUse=use%26unu se; nid_iplevel= 1; page_uid=SQHk hsoRR08sssJMp0hs ssssssw .. ??
8
패킷의 구조 및 배경지식
9
패킷의 구조 및 배경지식
10
패킷의 구조 및 배경지식
11
패킷의 구조 및 배경지식
12
패킷의 구조 및 배경지식 Snort가 탐지하는 부분
13
HTTP 구조 HTTP Header HTTP Body
14
HTTP 구조
15
HTTP 구조
16
HTTP 구조
17
Snort Rule 구조 Action Protocol 출발지 IP, Port 방향 목적지 IP, Port Option alert tcp any -> (msg:”access Naver”; content:”naver”;) alert tcp any any -> any 21 (msg:”access FTP Server”; content:”ftp”;)
18
티켓몬스터 접근 차단
19
티켓몬스터 접근 차단 GET / HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Accept-Language: ko-KR User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0) Accept-Encoding: gzip, deflate Host: DNT: 1 Connection: Keep-Alive alert tcp any any -> any 80 (msg:”Access”; content:”GET”; http_method; content:” http_host;)
20
Naver-Cloud 파일업로드 차단
21
Naver-Cloud 파일업로드 차단 POST /CheckUpload.ndrive HTTP/1.1 Accept: */* ... Host: files.cloud.naver.com dstresource=test.pdf&uploadsize=499722& HTTP/ OK User-Agent: NHN/ND-Server Ver 1.0 ... Content-Length: 41 { ."resultcode":0, ."message":"success" } alert tcp any any -> any 80 (flow:to_server; content:” /CheckUpload.ndrive”; http_uri; Content:” files.cloud.naver.com”; http_header; content:”POST”; http_method;)
22
Naver-Cloud 파일업로드 차단 실제 파일을 전송하는 HTTP Request POST /test.pdf HTTP/1.1
Accept: */* ... Host: files.cloud.naver.com Content-Length: DNT: 1 dfd6d50558 Content-Disposition: form-data; name="Filedata"; filename=“test.pdf" Content-Type: application/pdf %PDF-1.5 %.... 1 0 obj 실제 파일을 전송하는 HTTP Request
23
카카오톡 로그인 차단
24
카카오톡 로그인 차단 ..Thawte, Inc.1.0...U... Thawte SSL CA0.. 140418000000Z.
Z0e1.0...U....KR1.0...U....Gyeonggi-do1.0...U....Seongnam-si1.0...U. ..Kakao Corp U....*.kakao.com0.."0 ..*.H.. alert tcp any 443 -> any any (msg:”Login Kakao”; content:”*.kakao.com”;)
25
카카오톡 프록시 서버를 이용한 로그인 차단
26
카카오톡 프록시 서버를 이용한 로그인 차단 CONNECT sb-talk.kakao.com:443 HTTP/1.1
Host: sb-talk.kakao.com:443 Connection: keep-alive alert tcp any any -> any any (flow:to_server; content:” sb-talk.kakao.com”; content:”CONNECT”; http_method;)
27
팀뷰어 원격접속 차단
28
팀뷰어 원격접속 차단 Partner ID,PW ACK master1.teamviewer.com Client ~
29
팀뷰어 원격접속 차단 d f a5 8d $ wpP. 8c e1 dd e6 27 ee 5e b1 89 8a '. ^.bv...$ 06 b7 fd f 65 9b 1d b a Sa.e. ...XIyJ0 c3 31 0c 9d 77 c6 d7 d5 83 dd w a9 23 ed a a1 3a 6a d1 c0 80 d8 aa .#.....: j&...... d2 1d f 69 2e 02 eb c2 e0 4e 6c db 96 4a ...s.i.. ...Nl..J - 중 략 - e1 c c7 b7 0a 33 3a a2 a3 a3 53 b :...S.r 40 8f c b 9b 48 d7 e8 a6 00 c2 ee H 9f 4d 5b 9f 34 e8 cb 1b 14 4b 6b 1d 0d M[ Kk.. alert tcp any any -> any 5938 (flow:to_server; dsize:397; content:”|17 24|”; offset:0; depth:2; )
Similar presentations
