Suricata’da Kaba Kuvvet Saldırıları İçin Kural Yazmak
Bu yazımızda Suricata’da HTTP kaba kuvvet saldırısının tespitine yönelik kuralların yazılmasını ele alacağız.
Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:
#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası
#suricata –c /etc/suricata/suricata.yaml –r brute_force.pcapng
Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.
/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.
Password parametresine kaba kuvvet saldırısının olup olmadığının tespiti için aşağıdaki kural kullanılabilir:
alert tcp any any -> any any (msg: “Muhtemel kaba kuvvet saldırısı”; content:”password”; sid:10000003; rev:1; )
FTP servisi için kaba kuvvet saldırısı kuralını aşağıdaki şekilde özelleştirebiliriz:
alert tcp any any -> any 21 (msg: “Muhtemel FTP servisine kaba kuvvet saldırısı”; content:”password”; sid:10000004; rev:1; )
HTTP servisi için kaba kuvvet saldırısı kuralını aşağıdaki şekilde özelleştirebiliriz:
alert tcp any any -> any 80 (msg: “Muhtemel HTTP servisine kaba kuvvet saldırısı”; content:”password”; sid:10000005; rev:1; )
Brute_force.pcapng dosyası incelendiğinde yapılan istekte password parametresine çeşitli değerler verildiği gözlemlenmektedir.
Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:
#tcpreplay –i eth1 brute_force.pcapng
Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:
#suricata –c /etc/suricata/suricata.yaml –i eth1
Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:
#tail –f /var/log/suricata/fast.log
local.rules dosyasına kuralları yazdıktan sonra , kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:
# suricatasc -c ruleset-reload-nonblocking
HTTP kaba kuvvet saldırısı trafik analizi yazımıza https://kaleileriteknoloji.medium.com/http-kaba-kuvvet-sald%C4%B1r%C4%B1s%C4%B1-trafik-analizi-61728510b5a9 linki aracılığıyla ulaşabilirsiniz.
Hydra ile FTP Kava Kuvvet saldırısı ve trafik analizi yazımıza https://kaleileriteknoloji.medium.com/hydra-ile-ftp-kaba-kuvvet-sald%C4%B1r%C4%B1s%C4%B1n%C4%B1n-trafik-analizi-b431469fcd20 linki aracılığıyla ulaşabilirsiniz.