Real CC Attack Traffic & Rule

포스팅된 CC Attack에 대한 내용을 보다가 이번 7.7 DDOS 실제 트래픽을 캡쳐해서 올립니다.

CC Attack

캡쳐화면을 보듯이 GET으로 Cache-control에 no-store, must-revalidate 값을 삽입하여 보냅니다..

참고로 로컬PC에서 국회 홈페이지로 CC Attack을 하는 트래픽입니다.

내부 좀비 PC를 탐지하기 위한 룰

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”CC Attack”; content:”Cache-Control|3a 20|no-store, must-revalidate”; nocase; classtype:http; sid:11111; rev:1;)

외부 좀비 PC에서 내부 웹 서버 공격을 탐지하기 위한 룰

alert tcp $EXTERNAL_NET $HOME_NET any -> $HOME_NET $HTTP_PORTS (msg:”CC Attack”; content:”Cache-Control|3a 20|no-store, must-revalidate”; nocase; classtype:http; sid:11112; rev:1;)

Advertisements

About this entry