私はSnortに慣れようとしているので、3つのVMを設定しました。 SnortをインストールしたXAMPPとUbuntuがインストールされたWindowsマシンであるKali。
私はAfpacketインラインモードでSnortを実行していると思います。 Snort が起動するたびに、「インラインジョブの有効化 - IDS モードで実行」というメッセージが表示されます。
Windowsシステムには、ユーザー名が「John」でパスワードが123456のFTPサーバーがあります。 KaliはNcrackを使ってサーバーを攻撃しましたが、約2分でパスワードを見つけることができました。私は攻撃をブロックし、実際のユーザー(ログインしたいホスト)と攻撃者を区別できるように努めています。私の計画は、次のルールを作成することです。 「サーバーが1秒以内に5回以上のログイン試行を受信すると、パケット/試行を破棄します。」
たくさん検索しましたが、今週はたくさんの時間を過ごしましたが、正しいルールが見つかりませんでした。
おすすめメニューとは何ですか?どのルールを試すべきですか?私は何が間違っていましたか?ありがとう
私が今まで試したこと:
Alert tcp any any -> $HOME_NET 21 (msg: "受信される FTP 接続"; フラグ:S; sid:10000010;) #alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg: "受信される SSH 接続"; GID :1 ; sid:10000012; rev:001;) #drop tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"FTP ログインエラー"; 内容:"530 ログイン"; nocase; フロー:from_server,build; クラスタイプ:無効 - 不明;しきい値:両方入力、トレース基準:5、秒sid:491;)
#alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg: "可能なFTP無差別攻撃"; メタデータ: サービス ftp-data; セッション:バイナリ; sid:10000011; rev:001;)
#drop tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"FTP 無差別代入攻撃を試みる"; 内容:"530 無効なログインまたはパスワード!"; nocase; フロー: 状態の非保存; しきい値: 両方のタイプ、トレース by_dst 、数3、2番目の1; sid:10000012。
#drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP 受信接続"; フラグ:S; しきい値: 両方入力、トレース by_src、カウント 3、秒 1; sid:100000011; rev:1;)
#drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"プロトコル-FTP ユーザーのオーバーフローを試みる"; フロー:to_server,builded; content:"USER",nocase; isdataat:100,relative; pcre:"/^USER ( ?!\n)\s[^\n]{100}/smi"; メタデータ: ポリシー max-Detect-ips 削除、ルールセット コミュニティ; 参照: bugtraq,1>
#drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"Protocol-FTP PASS オーバーフローを試みる";flow:to_server,builded; content:"PASS",nocase; isdataat:100,relative; pcre:"/^PASS (?
#drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg: "Protocol-FTP ProFTPD ユーザー名 sql 注入試行"; フロー: to_server, 設定; コンテンツ: "|25 27|", fast_pattern, nocase; コンテンツ: "USER " ; pcre:"/USER\s*[^\x0d]+\x25\x27/smi"; メタデータ: ポリシー max-Detect-ips drop; 参照:> #drop tcp $HOME_NET 21 -> $EXTERNAL_NET any ( msg : "FTPログインに失敗しました"; コンテンツ: "530ログイン"; from_server,builded; $HOME_NET 21 (msg: "FTP ログイン成功"; 内容: "PASS"; nocase; オフセット: 0; 深さ: 4; 内容: "|0a|"; 範囲: 3; プロセス: from_client, 設定; しきい値:両方とも入力、追跡by_dst、カウント10、秒sid:10000012。
tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "BLEEDING-EDGE-SCAN 潜在的な FTP 無差別代入試行"; flow:from_server,builded; content: "530 "; pcre: "/^530\s+(Login| User ) /smi"; クラスタイプ: 失敗したユーザー; しきい値: タイプしきい値, トレース基準_dst, カウント 5, 秒 30; sid: 2002383; rev: 3;)
#alert tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"ET SCAN 潜在的な FTP 無差別代入試行"; フロー:from_server,builded; dsize:<100; コンテンツ:"530 "; 深さ:4; pcre:"/ 530 \s+(Login|User|Failed|Not)/smi"; classtype:unsuccessful-user; しきい値: 同時入力、by_dst トレース、5 秒、30 秒; 参照: url,doc.emergingthreats.net/2002383; 参照:URL、www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_FTP_Brute_Force sid: 2002383;)
上記のほとんどはログに付属しており、いくつかの塊があると思いますが、実際に望むものではありません。