Snort Rule Generator 사용법 > Rule Generator > Send an Alert > 이런 창이 뜬다. > S-IP / S - Port 지정할 수 있고 ip / tcp / udp / icmp 지정 가능하다. > D-IP / D -Port 지정 가능> 메시지 쓰는 칸과 추가 메뉴도 있다. [참고] Snort Rule Generator 사용법 http://www.youtube.com/watch?v=4Eb8S-NK6f4 > anonymous라는 단어 발견시 알림 > 옵션으로 flag를 아무것도 선택하지 않으면 null > SYN 과 RST 는 함께 올 수 없는 flag > 저장하고 back 을 눌러 나온다. Security/Linux Server 7년 전
IDS (Instrusion Detect System)_ snort rule 구조 [ 기업 정보 보호 전문가 양성 과정 시스템 정보 보안 기술 실무 ] 책의 일부를 참고 했습니다. - rule 은 크게 헤더와 옵션으로 구성되어 있다. - 헤더 - Action ( IPS )------------------------------------------------------------------------------------종류내용------------------------------------------------------------------------------------Drop인라인(In-Line)방식으로 구성되어 있을 경우 IPS 역할이 가능, 규칙에 매칭되는 패킷을 차단하는 기록RejectDrop과 같은 액션을 취함- TCP의 RESET 패킷을 출발지로 전송- ICMP 패킷은 .. Security/Linux Server 7년 전
IDS (Instrusion Detect System)_실습_ snort 탐지확인 - 서버 구성도 192.168.17.2 |Attacker(eth0) --------+----------(eth0)firewall(eth1) ---------+---------------+----------192.168.17.60 192.168.17.100 192.168.27.100 | | IDS(eth0) Meta(eth0) 192.168.27.50 192.168.27.134 - 실습 Attacker 에서 Meta 공격 IDS 서버에서 침입 감지 확인 [주의] 어떤 서버에서 작업하는지 확실하게 파악하기 (IDS)# snort -q -A console -b -c /etc/snort/snort.conf> snort 데몬 실행 > 아직 아무런 반응이 없다. ( 잘 실행되고 있음 -> 안되면 오류 뜨고 끝남 ).. Security/Linux Server 7년 전
IDS (Instrusion Detect System)_환경 구성_snort 설치/설정 - 사용 시스템KaliLinux( 지금까지 실습으로 사용하던 이미지 ) -- Clone--> Attacker --Clone--> IDSFirewall ( CentOS )meta ( Ubuntu ) - 서버 구성 192.168.17.2 |Attacker(eth0) --------+----------(eth0)firewall(eth1) ---------+---------------+----------192.168.17.60 192.168.17.100 192.168.27.100 | | IDS(eth0) Meta(eth0) 192.168.27.50 192.168.27.134 네트워크 설정 Edit > Virtual Network Editor 설정을 다음과 같이 설정한다. 1. Attacker 설정kaliLinu.. Security/Linux Server 7년 전
