1. Zeek의 네트워크 플로우 로그 분석
Zeek는 네트워크의 모든 플로우를 기록하며, SYN 패킷을 포함한 TCP 플로우도 분석합니다. Security Onion의 Kibana 인터페이스에서 Zeek의 네트워크 플로우 로그를 시각화하고, 장기간 연결되지 않는 SYN 요청(반복적인 SYN 패킷 전송이나 응답이 없는 패킷들)을 필터링할 수 있습니다.
•
Zeek의 conn.log 확인: Zeek의 conn.log 파일에는 모든 연결 시도가 기록되며, 이 로그를 Kibana에서 필터링하여 SYN 요청만 추적할 수 있습니다.
◦
연결 시도가 이루어졌으나 응답이 없거나 일정 시간 동안 지속되는 SYN 요청을 확인할 수 있습니다.
•
Kibana 필터링: Kibana에서 다음과 같은 조건으로 필터를 설정할 수 있습니다:
◦
TCP 플래그가 SYN(SYN flag set)인 패킷만 필터링.
◦
conn_state가 S0인 경우 (즉, 요청만 있고 응답이 없는 상태).
◦
일정 시간 동안 다수의 SYN 요청을 보냈지만 연결이 성립되지 않는 경우를 기준으로 비정상적인 트래픽을 확인할 수 있습니다.
2. Suricata 경고 분석
Suricata는 SYN Flood와 같은 공격을 탐지하는 규칙이 기본적으로 설정되어 있으며, 반복적인 SYN 요청이 비정상적으로 발생할 때 경고를 생성합니다. 이를 통해 장기간 연결되지 않는 SYN 요청이 공격인지 여부를 파악할 수 있습니다.
•
GUI의 Alerts 페이지에서 Suricata가 감지한 SYN Flood 관련 경고 메시지를 확인할 수 있습니다.
3. Hunt 인터페이스에서 패킷 분석
Hunt 메뉴를 사용하여 개별 패킷을 상세 분석할 수 있습니다. 여기서 SYN 패킷과 관련된 세션 정보를 찾아보고, 비정상적인 연결 시도를 더 심도 있게 분석할 수 있습니다.