13. 다음과 같은 Snort 룰로 탐지된 패킷을 보고, 어떤 공격이 수행되었는지 설명하시오.
[Snort Rule]
alert tcp any any -> any 21 {content:”anonymous”; nocase; msg:”Anonymous FTP attempt”;sid:1000012}
[탐지 패킷]
TCP TTL:64 TOS:0x10 ID:5450 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0xE95B8593 Ack: 0x7D3F3893 Win:0x1D TcpLen:32
TCP options (3) => NOP NOP TS: 45113 1572881
55 53 45 52 20 41 6E 4F 6E 59 6D 4F 75 53 0D 0A USER AnOnYmOuS..
클릭하면 정답이 보입니다.
| 정답 확인 | 맞췄어요 O | 틀렸어요 X |
Anonymous FTP 공격이 수행 되었음.
- 공격자는 열려있는 ftp 서비스(포트21)에 접속 후, 보안시스템의 탐지를 우회하기 위하여 계정명에 대소문자를 혼합한 AnOnYmOuS 를 입력하여 로그인을 시도하였음.
- Snort rule에서 nocase로 대소문자를 구분하지 않았기 때문에, 공격시도에 대한 탐지가 가능하였음
- Anonymous FTP 서비스가 enable된 경우, 서버에 계정이 없는 사용자도 접근이 가능하므로 서버내 권한 관리가 적절히 이루어지지 않을 경우 악성코드를 업로드 하거나 중요 파일에 접근 가능한 리스크가 있음. 따라서 꼭 필요한 경우가 아닌 경우 anonymous ftp 서비스는 disable 해야 함.
- 공격자는 열려있는 ftp 서비스(포트21)에 접속 후, 보안시스템의 탐지를 우회하기 위하여 계정명에 대소문자를 혼합한 AnOnYmOuS 를 입력하여 로그인을 시도하였음.
- Snort rule에서 nocase로 대소문자를 구분하지 않았기 때문에, 공격시도에 대한 탐지가 가능하였음
- Anonymous FTP 서비스가 enable된 경우, 서버에 계정이 없는 사용자도 접근이 가능하므로 서버내 권한 관리가 적절히 이루어지지 않을 경우 악성코드를 업로드 하거나 중요 파일에 접근 가능한 리스크가 있음. 따라서 꼭 필요한 경우가 아닌 경우 anonymous ftp 서비스는 disable 해야 함.
위키 해설
위키해설을 등록해주세요!
📝 문제 해설(등록자)
클릭하면 보입니다.
🤖 AI 문제 해설
AI의 해설은 정확하지 않을 수 있으니 읽어보시고 꼭 평가해주세요.
시기에 따라 사용 가능한 모델이 달라질 수 있습니다.
🤝 무료 LLM 모델을 찾고 있습니다.
클릭하면 보입니다.