HIDS(Host Intrusion Detection System):
내부 네트워크를 위한 IDS
OSSEC,TRIPWIRE등의 소프트웨어를 사용함
Server 역할과 Agent 역할로 나누고, 일반 호스트들은 Agent역할을 하고 의심스런 정황을 Server에 로그를 보냄
1. apt install -y build-essential make zlib1g-dev libpcre2-dev libevent-dev libssl-dev libz-dev libsqlite3-dev
2. (curl / wget) wget -q -o - https://updates.atomicorp.com/installers/atomic | bash
서버쪽 OSSEC를 다운 후 agent의 ip와 이름을 입력해주고 키값을 추출해서 에이전트한테 부여하면 에이전트의 상태를 감시하고 로그를 저장할 수 있음.
윈도우 os에 에이전트를 다운받아서 확인
윈도우에 감지되는 위협이 로그로 저장되어 나타남
DDoS(Distributed Denial-Of-Service):
hping3 -kali linux에서 사용하면 편함
hping3 [공격 ip] [옵션]
ex) hping3 -1 (icmp) 192.168.16.141 (공격대상 ip) --flood(최대속도) --syn (syn flag) -a(spoofing) 192.168.16.203
공격대상 ip에 syn flag의 tcp 패킷을 192.168.16.203 ip를 src로 스푸핑하여 보내라는 의미
Snort:
snort의 rule파일에 적용한 것으로
detection_filter는 rule 자체에 추가할 수 있지만,
event_filter같은 다른 필터들은
snort.lua 파일의 환경변수로 event_filter나 rate_filter값을 수정해주어야 한다.
suricata는 suricata 경로에 threshold.conf 파일이나 여러가지 config 파일을 수정하면 된다.