Port Scanning && Snort Rules(ICMP)

==================================================================================

Program : nmap  4.60          OPTION : -sS(TCP SYN scan)   -O(Enable OS detection)   -p1-1024(port range)

1. victim에 ack 신호를 보냄 --> attacker에게 Reset 신호보냄

2. victim에 ICMP request     --> attacker에게 echo reply

---> 스캔대상 서버 살아있는지 확인?!

3. 본격적인 SYN 신호를 이용한 scanning
-->  3-way연결중    SYN--> SYN+ACK  이후 3번째 ACK신호를 보내지 않으므로써 연결이 되지않으므로
      로그에 남지 않는다.

4. 아래 그림을 보면 domain(53), https(443), http(80), ssh(22), smtp(25)등은 열려있어서 SYN신호를
받아  SYN+ACK 신호를 보내는것을 알 수있다. attacker가 ACK신호를 보내지 않자 잠시후 RST(Reset)
신호를 보내는 것을 볼 수 있다.
==================================================================================

서버에서 snort log폴더에 들어가 alert파일을 확인해보면 아래와 같이 탐지된다. (option : -sS)

                                                     ...
                                                     ...


또한 NMAP은 공통적으로 스캔을 할 때마다 처음에   ICMP를 날리는데 그것을 패턴으로 탐지하는 것 같다.

RULE을 찾아보았다.     icmp.rules에 있었다.

++++++++++++++++++++++++++++++icmp.rules++++++++++++++++++++++++++++++++++++++
....
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; 
reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)                                                  
....
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

itype : 8 (echo request)     dsize : 0 (data size)

echo request이면서 data size가 0인 것을 탐지하는 것같다.


Normal ping(echo request)  packet             ping(echo request) packet  in NMAP

                  

보통의 ping인경우 default로 dsize가 0이 아니다.  NMAP 에서 사용하는 ping의 경우 dsize가 0이다.

물론 되겠지만 확인차 윈도우에서 size를 0으로 줘서 실험해 보았다. 

===================================================================================
NMAP 캡쳐해서 분석하다 Snort로 빠져서 Rule도 만들어보고 캡쳐도 하다보니 할꺼 많은데

시간 엄청 잡아먹고 이상하게 한건 없는 것 같고 무언가 계속 하긴 했는데...

시간 참 빨리가네...우울하게 -_ㅜ
===================================================================================