상황: 특정 룰을 추가했더니 한 번 테스트 할 때는 잘 감지가 되었으나, 정작 실제 공격 시도에서 감지가 안되었다. 


분석: 일정 회수 이상으로 접근을 한 결과 서비서 거부 정책에서 특정 시간에 몇 회 이상 TCP PORT SWEEP 같은 형태로 필터를 한 것으로 추정


결론: 업체에 물어보니 원래 그렇다고. 


느낀 점: 잘못 파악한건가 싶기도 하고, 무슨 시스템이 이렇게 작동할 리가 없잖아 :(

Posted by Parker Falcon

댓글을 달아주세요