zeek (1)

Zeek를 통한 SYN Flood 탐지

SYN 패킷 로그 분석:

•

conn.log 파일은 TCP 세션의 상태를 기록합니다. 여기서 SYN 패킷만 발생하고 세션이 종료되지 않는 비정상적인 연결을 확인할 수 있습니다.

•

conn.log 파일에서 비정상적인 SYN 연결을 찾으려면 다음과 같은 패턴을 검색할 수 있습니다:

cat /nsm/zeek/logs/current/conn.log | grep -E "S0|SYN"

Shell
복사

SYN 상태 필터링:

•

Zeek는 TCP 세션 상태를 기록하며, S0 상태는 SYN 패킷이 전송되었으나 세션이 완료되지 않은 상태를 의미합니다.

•

conn.log에서 S0 상태로 남아 있는 다수의 연결 시도를 확인하면 SYN Flood 공격일 가능성이 높습니다.

•

로그 파일 s0 확인방법 

로그 분석:

•

conn.log 파일에서 SYN Flood 공격에 해당하는 비정상적으로 많은 SYN 패킷 시도를 분석합니다. 출발지 IP, 목적지 IP, 패킷 개수 등을 파악하여 공격의 특성을 분석할 수 있습니다.