akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

2/2 IDSとIPSの遮断の違い(実験編)その1

関連記事
2/2 IDSとIPSの遮断の違い(準備編) - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その1 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その2 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その3 - akkietech’s diary
2/2 IDSとIPSの遮断の違い(実験編)その4 - akkietech’s diary
IDSIPSの遮断の違いをラブレターで例えたら1つの物語ができた - akkietech’s diary


■実験その1
Kali Linux側でNmapを実行する
下記をコマンドを実行しOSスキャンを行うことで、
User-Agentを含むリクエストを投げることができる
# nmap -A -p 80 192.168.179.10

するとWebサーバ側のSnortのコンソールに下記のように表示される
02/01-10:45:44.691422 [**] [1:1000010:1] Nmap Access to port 80 [**] [Priority: 0] {TCP} 192.168.179.44:42288 -> 192.168.179.10:80

Webサーバ側のtcpdumpとKali側のWireSharkでも
WebサーバのIPからRSTパケットが送られていることが確認できた

これはつまりIDSの遮断機能により送られたRSTパケットであると思われる

そしてNmapのOSスキャンはというと
本来であればApacheWordPressのバージョンなどを持って帰って来てくれる
こんな感じで
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15 (CentOS)
|-http-generator: WordPress 4.9.9

しかし今回はSnortでの遮断が有効化されているので、
そのあたりの情報は検出されなくなった
=>ばっちり遮断されてるじゃん!!

その2につづく
2/2 IDSとIPSの遮断の違い(実験編)その2 - akkietech’s diary