Snort 탐지패턴 작성

 

칼리리눅스에 깔았다

칼리는 Kali-Linux-2018.2-vm-i386

uname -a 해보면 Linux Kali 4.15.0 버전

 

 

1. Kali Linux 외부 통신 확인

외부 통신이 돼야 침입탐지를 하니깐 확인한다

 

외부 통신 안될 때

 

외부 통신 될 때

 

2. 스노트 설치

apt-get install snort 로 설치하고 snort -v 로 확인

 

3. snort.conf 파일 수정

vim /etc/snort/snort.conf 에서 좀 수정해야 한다

 

Esc → : → set nu 로 줄번호 생성

536번 line 주석처리 후, 아래 세줄 추가

 

537번 line 이후부터 모든 include를 주석처리

 

737번 line 이전까지의 모든 include를 주석처리

 

4. local.rules 파일에 룰셋 작성

vim /etc/snort/local.rules 에 룰셋 작성한다

 

naver 라는 문자열 탐지하겠다

 

5. 스노트 실행

/etc/snort 위치에서 snort -c snort.conf 하면 실행된다

 

naver 문자열 탐지되도록 네이버 사이트 접속한다

https 는 탐지 불가하므로 http 통신 구간으로 클릭

 

6. 탐지 결과 확인

/var/log/snort 위치에서 cat alert.full 으로 파일 확인 시 탐지 결과 2건 확인 가능

 

/var/log/snort 의 tcpdump.log 파일 wireshark 로 열기

 

탐지 결과 wireshark 로 확인 가능