OpenWrt: DDos 공격을 Snort 로 탐지

OpenWrt 에서 Snort 를 사용하여 DDos 공격을 탐지해보았다.

 

실험 환경 설정

우선, Docker 로 실습 환경을 구성한다.

다음의 두 컨테이너를 만들어야 한다.

• OpenWrt (2021.07.16 - [SECURITY/OpenWrt] - OpenWrt 를 docker 로 :: OpenWrt, SDK, Package, ipk, scp)
• Kali Linux (https://www.kali.org/docs/containers/official-kalilinux-docker-images/)

(자세한 설정 방법은 위 포스팅과 Kali Linux 공식 docker images 를 참고하면 된다.

간단하게 바로 설치하고 넘어가시려면, 다음 명령어를 입력해도 된다)

$ docker run -it openwrtorg/rootfs
$ docker run --tty --interactive kalilinux/kali-rolling /bin/bash

Kali Linux 를 공격자로 사용하여 OpenWrt 에 DDos 공격을 날려볼 것이다!

 

다음과 같이 ip 주소를 먼저 확인해주자.

OpenWrt 는 172.17.0.2 이고, Kali linux 는 172.17.0.3 이다.

 

 

* 처음 Kali Linux 컨테이너를 만들면, ifconfig 나 hping3 같은 툴이 없는 상태이다.

따라서 다음 명령어들로 설치해주자.

# apt update
# apt install net-tools
# apt install hping3

---

OpenWrt 에 Snort 설치

OpenWrt 에서는 Snort 공식 패키지를 지원한다.

즉, opkg 로 설치할 수 있다!

$ opkg update #update repo
$ opkg install snort #install snort

(https://openwrt.org/docs/guide-user/services/snort)

실제로 사용하기 위해서는 몇가지 설정을 해줘야 한다.

snort.conf 파일을 잘 설정해둬야 하는데, 해당 파일은 rules 파일의 위치 등을 작성해두는 Configuration 파일이다.

Rules 파일들의 위치와 IP 주소 등을 자신에 맞게 설정해야 한다.

해당 내용은 OpenWrt - snort 문서에서 (위 링크) 자세히 설명해주고 있으니, 메뉴얼에 맞게 따라가면 된다.

 

룰 (rule) 설정

앞서 설명한 DDos 공격 기법들을 탐지하기 위한 룰을 local.rules 파일에 작성한다.

룰의 형태는 달라질 수 있지만, 기본적인 룰들을 작성해뒀다.

 

 /etc/snort/rules/local.rules

# SYN Flooding
alert tcp any any -> 172.17.0.2 80 (msg:"SYN-Flooding-Detection"; flags: S; threshold: type threshold, track by_dst, count 5, seconds 10; sid: 1000004;)

# UDP Flooding
alert udp any any -> 172.17.0.2 any (msg:"UDP-Flooding-Detection"; threshold: type threshold, track by_dst, count 10, seconds 1; sid: 1000002;)

# ICMP Flooding
alert icmp any any -> 172.17.0.2 any (msg:"ICMP-Flooding-Detection"; threshold: type threshold, track by_dst, count 10, seconds 1; sid: 1000003;)

---

결과

위와 같이 rule 을 설정한 rules 파일과 함께 snort 를 실행시킨다.

snort -v -c /etc/snort/rules/local.rules --daq-dir /usr/lib/daq

실행 화면

 

SYN Flooding 실습

그리고 Kali Linux 에서 hping3 로 SYN 패킷을 보낸다.

$ hping3 -S --rand-source 172.17.0.2 -p 80 --faster

* hping3 사용법

-S: SYN 패킷을 보내라
-i u50: 초당 50개의 패킷
-c 100: 100개의 패킷만 공격
--flood: Flooding
--rand-source: Source IP 를 Random 하게 변경하여 공격
--faster: 1초에 100개의 패킷을 보내라
--fast: 1초에 10개의 패킷을 보내라
-1 또는 --icmp : ICMP 모드

-2 또는 --udp: UDP 모드, 안써주면 TCP

 

보내기 시작하면, OpenWrt [snort] 에서 반응이 온다.

 

 

실행시키다 종료하면, 받은 패킷 분석 내역을 보여주고 Snort 가 종료한다.

 

 

해당 Alert 로그는 다음의 경로에 있다.

/var/log/snort

 

.log. 파일들은 바이너리 파일들이고, alert 는 텍스트 형식으로 된 파일이다..[?]

 

alert 파일을 확인해보면, 작성한 rules 에 맞게 alert 가 기록된 것을 확인할 수 있다.

 

/var/log/snort/alert 파일 중 일부

UDP Flooding 실습

Kali Linux 로 UDP 패킷을 보냈다.

이때, 1초에 50개 그리고 총 100개의 패킷을 보낸다는 조건을 추가하여 보냈다.

$ hping3 172.17.0.2 --udp --rand-source -i u50 -c 100

이를 보내면, Snort 가 실행되고 있는 OpenWrt 에서는 다음과 같이 UDP 패킷이 들어온 것을 확인할 수 있다.

 

 

alert log 파일을 확인해보면, 다음과 같이 UDP-Flooding-Detection 이 잘 탐지된 것을 볼 수 있다.

이때 hping3 로 100개의 패킷을 보냈기 때문에, 총 10개의 alert log 를 확인할 수 있다.

(10개의 패킷마다 alert 하도록 룰을 설정했기 때문)

 

 

ICMP Flooding 실습

마지막으로 ICMP Flooding 을 실습하기 위해 Kali Linux 로 ICMP 패킷을 보냈다.

UDP Flooding 실습과 마찬가지로 1초에 50개 그리고 총 100개의 패킷을 보낸다는 조건을 추가하여 보냈다.

 

실행시키면, Snort 가 실행되고 있는 OpenWrt 에서는 다음과 같이 ICMP 패킷이 들어온 것을 확인할 수 있다.

 

그리고 alert log 파일을 확인해보면, 다음과 같이 ICMP-Flooding-Detection 이 잘 탐지된 것을 볼 수 있다.

이 역시 100개의 패킷을 보냈기 때문에, 총 10개의 alert log 를 확인할 수 있다.

 

---

이상으로 OpenWrt, Snort 그리고 Kali Linux 를 활용하여 DDos 공격을 발생시키고 이를 탐지해보았다.

 

---

번외

tcpdump 로도 패킷 확인가능.

좌: OpenWrt [tcpdump] 우: Kali Linux

* tcpdump 를 OpenWrt 에서 쓰려면 (https://openwrt.org/docs/guide-user/firewall/misc/tcpdump_wireshark)

# opkg update
# opkg install tcpdump

를 실행해주면 잘 설치된다.