beeum.oopy.io

Kibana에서 SYN 패킷이 비정상적으로 증가하는 트래픽을 확인하고 필터링하는 과정은, Suricata의 네트워크 로그 데이터를 Kibana를 통해 시각적으로 분석하고, 특정 트래픽 패턴을 탐지하는 방법입니다. SYN Flood와 같은 공격은 다량의 SYN 패킷을 보내어 서버를 과부하시키는 공격으로, 이러한 공격을 탐지하려면 SYN 패킷의 비정상적인 증가를 모니터링해야 합니다.

다음은 Kibana에서 SYN 패킷의 비정상적인 증가를 확인하고 필터링하는 방법을 단계별로 설명합니다.

1. Suricata 로그 데이터가 Kibana에 적재되어 있는지 확인

•

먼저, Suricata가 네트워크 트래픽을 모니터링하고 생성된 네트워크 이벤트 로그가 Kibana에 적재되어 있는지 확인해야 합니다.

•

Suricata의 로그는 일반적으로 suricata.eve.json 파일에 저장되며, 이를 Elasticsearch로 전송하여 Kibana에서 시각화할 수 있습니다.

2. Kibana에서 Dashboards 또는 Discover 탭 열기

•

Kibana에 로그인한 후, 사이드바에서 Dashboards 또는 Discover를 선택합니다.

•

Dashboards는 이미 설정된 대시보드를 기반으로 분석할 수 있으며, Discover는 로그 데이터에 직접 접근하여 쿼리를 실행하는 곳입니다.

3. Discover에서 Suricata 데이터 필터링

•

Discover 탭에서, 데이터 소스를 Suricata 로그로 지정합니다.

◦

데이터 인덱스 이름은 보통 **suricata-**로 되어 있으니, 이를 선택합니다.

•

이제 **검색창(Search bar)**에서 SYN 패킷과 관련된 쿼리를 작성하여 필터링을 시작할 수 있습니다.

4. SYN 패킷 필터링 쿼리 작성 (SYN 플래그 검색)

SYN 패킷을 탐지하려면 TCP 플래그 필드에서 SYN 플래그가 설정된 패킷을 필터링해야 합니다.

Kibana에서 SYN 패킷을 필터링하기 위한 쿼리는 다음과 같습니다:

json
코드 복사
event_type:flow AND tcp.flags:S

JSON
복사

•

event_type:flow: Suricata에서 네트워크 흐름(flow) 이벤트만 필터링합니다.

•

tcp.flags:S: TCP 패킷에서 SYN 플래그가 설정된 패킷만 필터링합니다.

5. 비정상적인 SYN 패킷 증가 탐지

•

쿼리를 실행한 후, Kibana는 해당 시간 동안 발생한 SYN 패킷을 시각적으로 보여줍니다.

•

비정상적인 SYN 패킷 증가를 탐지하기 위해 다음 사항을 모니터링하세요:

◦

패킷 발생 빈도: 정상적인 SYN 요청과 비교하여 일정 시간 동안 급격히 증가한 SYN 패킷 수를 확인합니다.

◦

출발지 IP 분석: SYN 패킷이 한 출발지에서 지속적으로 발생하는지 확인합니다. 공격자는 특정 IP에서 SYN Flood 공격을 감행할 수 있습니다.

◦

목적지 포트: 특정 포트(예: 80번 포트, 443번 포트 등)로 SYN 요청이 집중되는지도 확인해야 합니다.

6. 시각화: 비정상적인 트래픽 패턴 분석

•

Histogram 또는 Time series와 같은 Kibana 시각화 도구를 사용하여 특정 시간 동안 SYN 패킷 발생 패턴을 분석할 수 있습니다.

•

예를 들어, SYN 패킷이 1분 내에 100개 이상 발생하는 경우 이를 시각적으로 쉽게 확인할 수 있습니다.

•

SYN Flood 공격과 같은 패턴은 주로 특정 시간 간격 내에서 급격한 트래픽 증가로 나타납니다.

7. 경고 설정 (Kibana Alerts)

•

Kibana에서는 특정 조건에 따라 **경고(Alerts)**를 설정할 수 있습니다.

•

만약 SYN 패킷이 특정 수 이상 발생하면 경고를 발생시키도록 설정할 수 있습니다.

◦

예를 들어, 1분 동안 100개 이상의 SYN 패킷이 발생할 경우 경고를 생성할 수 있습니다.

경고 설정 방법:

Management → Alerts and Actions로 이동합니다.

Create new alert에서 경고 조건을 설정합니다.

조건에 맞는 트래픽 패턴(예: SYN 패킷 증가)에 대해 알림이 발생하도록 설정합니다.

8. 추가 필터링: 출발지/목적지 IP 및 포트

비정상적인 SYN 패킷 발생이 확인되면, 추가로 출발지 IP, 목적지 IP 또는 포트를 기준으로 더 세밀하게 필터링할 수 있습니다.

예시 쿼리:

json
코드 복사
event_type:flow AND tcp.flags:S AND src_ip:192.168.10.100

JSON
복사

•

src_ip:192.168.10.100: 특정 출발지 IP에서 SYN 패킷이 발생하는지 필터링합니다.

요약:

Kibana에서 Discover 탭을 열고 Suricata 로그를 필터링합니다.

SYN 패킷 필터링 쿼리를 실행하여 tcp.flags조건을 사용해 SYN 패킷을 탐지합니다.

시각화 도구를 사용해 비정상적으로 증가한 SYN 트래픽 패턴을 확인합니다.

필요시 경고(Alerts) 설정을 통해 특정 트래픽 증가에 대해 알림을 받습니다.

이를 통해 Kibana를 사용하여 SYN Flood와 같은 비정상적인 트래픽 패턴을 효율적으로 탐지하고 분석할 수 있습니다.