Suricata’da Kaba Kuvvet Saldırıları İçin Kural Yazmak

Bu yazımızda Suricata’da HTTP kaba kuvvet saldırısının tespitine yönelik kuralların yazılmasını ele alacağız.

Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:

#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası

#suricata –c /etc/suricata/suricata.yaml –r brute_force.pcapng

Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.

/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.

Password parametresine kaba kuvvet saldırısının olup olmadığının tespiti için aşağıdaki kural kullanılabilir:

alert tcp any any -> any any (msg: “Muhtemel kaba kuvvet saldırısı”; content:”password”; sid:10000003; rev:1; )

FTP servisi için kaba kuvvet saldırısı kuralını aşağıdaki şekilde özelleştirebiliriz:

alert tcp any any -> any 21 (msg: “Muhtemel FTP servisine kaba kuvvet saldırısı”; content:”password”; sid:10000004; rev:1; )

HTTP servisi için kaba kuvvet saldırısı kuralını aşağıdaki şekilde özelleştirebiliriz:

alert tcp any any -> any 80 (msg: “Muhtemel HTTP servisine kaba kuvvet saldırısı”; content:”password”; sid:10000005; rev:1; )

Brute_force.pcapng dosyası incelendiğinde yapılan istekte password parametresine çeşitli değerler verildiği gözlemlenmektedir.

Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:

#tcpreplay –i eth1 brute_force.pcapng

Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:

#suricata –c /etc/suricata/suricata.yaml –i eth1

Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:

#tail –f /var/log/suricata/fast.log

local.rules dosyasına kuralları yazdıktan sonra , kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:

# suricatasc -c ruleset-reload-nonblocking

HTTP kaba kuvvet saldırısı trafik analizi yazımıza https://kaleileriteknoloji.medium.com/http-kaba-kuvvet-sald%C4%B1r%C4%B1s%C4%B1-trafik-analizi-61728510b5a9 linki aracılığıyla ulaşabilirsiniz.

Hydra ile FTP Kava Kuvvet saldırısı ve trafik analizi yazımıza https://kaleileriteknoloji.medium.com/hydra-ile-ftp-kaba-kuvvet-sald%C4%B1r%C4%B1s%C4%B1n%C4%B1n-trafik-analizi-b431469fcd20 linki aracılığıyla ulaşabilirsiniz.