Snort 분석(DNS excessive outbound NXDOMAIN replies - 2nd)

지난 글에서 DNS Cache Poisoning 또는 DNS 증폭 DDoS 공격의 가능성을 알려주는 룰에 대해서 살펴봤는데, 탐지로그 대부분이 PTR 질의에 대한 NXDOMAIN 응답이었다. 도메인의 IP 질의(A 레코드 질의)에 대한 응답은 몇 개나 될까? 확인해보니 하나밖에 없다.

내가 뭘 할 수 있을까?

오랫만에 옛 동료들을 만나 술 한 잔 했다. 자연스레 화제는 공장(?) 얘기로 쏠렸고, 누가 떠났느니, 제품에 무슨 변화가 생겼느니, 보직을 옮겼는데 이제 이런 걸 해보고 싶다느니 하는, 뭐 그런 얘기들을 나눴다.

그 와중에 다시 같이 일 해볼 생각 없냐는 얘기도 나왔다. 글쎄 내가 가면 뭘 할 수 있을까? 주식 담보대출 받았다가 혼쭐이 났던 2008년이 떠오른다. (두고 보자 서브프라임, 삼성중공업, 그리고 ㅋㄴㄱㄹㄹ -_-)

1년 여 고객사 상주 끝에 회사 복귀하면서 이제 바리바리 싼 경험 보따리 풀어낼 생각에, 설치/장애처리만 하는 게 아니라 분석까지 하는 엔지니어팀 만들 생각에 가슴 두근거렸던 기억.

누구도 생각 못하던 업무 프로세스, 어느 업체도 해결 못하던 문제, 한 방에 해결하고 짱 먹어주마. 자신감 만땅이던 시절(..)

Snort 분석(DNS excessive outbound NXDOMAIN replies)

오늘 살펴볼 Snort 룰은 다음과 같다.

alert udp $HOME_NET 53 -> $EXTERNAL_NET any 
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers"; 
byte_test:1,&,2,3; 

• 네번째 byte(byte offset 3)를 2와 AND 비트 연산

byte_test:1,&,1,3; 

• 네번째 byte(byte offset 3)를 1과 AND 비트 연산

byte_test:1,&,128,2; 

• 세번째 byte(byte offset 2)를 128과 AND 비트 연산

detection_filter:track by_dst, count 200, seconds 30; 

• 30초간 200개의 패킷이 동일 목적지로 들어오면 탐지

metadata:policy security-ips drop, service dns; 
reference:cve,2008-1447; reference:cve,2009-0233; 
reference:url,www.kb.cert.org/vuls/id/800113;
reference:url,www.microsoft.com/technet/security/bulletin/MS09-008.mspx; 
classtype:misc-attack; sid:13949; rev:5;)

해커가 되고 싶나요?

올해 방영된 'CSI : Cyber'보다 무려 3년이나 앞서 제작된 본격 사이버수사 드라마(라고 쓰고 보안인력 양성 드라마라고 읽는) '유령'.

이연희씨랑 같이 일 하고 싶다^^;