2015년 10월 23일 금요일

Snort 분석(DNS excessive outbound NXDOMAIN replies - 2nd)

지난 글에서 DNS Cache Poisoning 또는 DNS 증폭 DDoS 공격의 가능성을 알려주는 룰에 대해서 살펴봤는데, 탐지로그 대부분이 IP의 도메인 질의(PTR 레코드 질의)에 대한 NXDOMAIN 응답이었다. 도메인의 IP 질의(A 레코드 질의)에 대한 응답은 몇 개나 될까? 확인해보니 하나밖에 없다.


2015년 10월 16일 금요일

내가 뭘 할 수 있을까?

오랫만에 옛 동료들을 만나 술 한 잔 했다. 술잔이 몇 차례 돌다 보니 자연스레 화제는 공장(?) 얘기로 쏠렸고, 누가 떠났느니, 제품에 무슨 변화가 생겼느니, 보직을 옮겼는데 이제 이런 걸 해보고 싶다느니 하는, 뭐 그런 얘기들을 나눴다. 그 와중에 다시 같이 일 해볼 생각 없냐는 얘기도 나왔다.

글쎄 내가 가면 뭘 할 수 있을까? 주식 담보대출 받았다가 혼줄이 났던 2008년이 떠오른다. (두고 보자 서브프라임, 삼성중공업, 그리고 ㅋㄴㄱㄹㄹ -_-)

1년 여 고객사 상주 끝에 회사 복귀하면서 이제 바리바리 싼 경험 보따리 풀어댈 생각에, 설치, 장애처리만 하는 게 아니라 분석까지 하는 엔지니어팀 만들 생각에 가슴 두근거렸던 기억. 누구도 생각 못하던 업무 프로세스, 어느 업체도 해결 못하던 문제, 한 방에 해결하고 짱 먹어주마. 자신감 만땅이던 시절(..)

다 덤벼

2015년 10월 13일 화요일

Snort 분석(DNS excessive outbound NXDOMAIN replies)

오늘 살펴볼 Snort 룰은 다음과 같다.

alert udp $HOME_NET 53 -> $EXTERNAL_NET any 
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers"; 
byte_test:1,&,2,3; 
  • 네번째 byte(byte offset 3)를 2와 AND 비트 연산
byte_test:1,&,1,3; 
  • 네번째 byte(byte offset 3)를 1과 AND 비트 연산
byte_test:1,&,128,2; 
  • 세번째 byte(byte offset 2)를 128과 AND 비트 연산
detection_filter:track by_dst, count 200, seconds 30; 
  • 30초간 200개의 패킷이 동일 목적지로 들어오면 탐지
metadata:policy security-ips drop, service dns; 
reference:cve,2008-1447; reference:cve,2009-0233; 
reference:url,www.kb.cert.org/vuls/id/800113;
reference:url,www.microsoft.com/technet/security/bulletin/MS09-008.mspx; 
classtype:misc-attack; sid:13949; rev:5;)

2015년 10월 9일 금요일

해커가 되고 싶나요?

올해 방영된 'CSI : Cyber'보다 무려 3년이나 앞서 국내 제작된 본격 사이버수사 드라마(라고 쓰고 보안인력 양성 드라마라고 읽는) '유령'.

나도 사이버경찰 하고 싶다^^;

크리에이티브 커먼즈 라이선스