SecurityOnion 설치

Download: https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md

Install Guide (vmware): https://github.com/Security-Onion-Solutions/security-onion/wiki/VMWare-Walkthrough

SGUIL을 통해서 Snort 룰에 탐지된 이벤트 내역을 볼 수 있음 (syn flood)

icmp flood를 쏴보니까 탐지가 안돼서 테스트도 해볼겸 간단히 룰을 추가해보기로 결정

icmp 패킷 내용.

룰 파일 경로: /etc/nsm/rules/local.rules  

alert ip $EXTERNAL_NET any -> $HOME_NET any (msg: "(hping3) ICMP Flood!! Ping of Death!!"; content:"XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"; dsize: >1500; nocase; sid:7550547; rev:1) 

local.rules 룰 파일 수정 후 터미널에서 rule-update 입력 -> /etc/nsm/rules/downloaded.rules 파일에 적용됨

icmp flood 초기 탐지.

하지만 icmp flood를 지속적으로 날리면 가상머신이 뻗어버리는 문제는 여전함

재부팅후 다시 패킷을 보내보니 SGUIL에서 이전 이벤트를 1초에 1개씩 지속적으로 업데이트하다가 또 멈춤

-> sguil-db-purge로 지워도 icmp 쏘면 다시 이전 이벤트 갱신 or 멈춤현상 반복 -> 재설치.

Snort 룰 옵션 수정: threshold:type threshold, track by_dst, count 2000, seconds 20;

방화벽 룰 수정: /etc/ufw/before.rules

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

ufw reload 이후 방화벽이 올바르게 작동하는 지 확인 (no response found).

룰 수정 후 icmp flood 탐지. 이벤트 갱신되다가 뻗어버리고 공격 중지하니까 그래도 금방 다시 살아남.

icmp flood (ping of death) 수행 내역.