Snort 설치

우분투 기준

[Snort 설치] apt-get install snort

[Snort 버전 확인] snort --version

sudo snort -T -c /etc/snort.conf 명령을 입력해 데스트 모드로 동작하면서 스노트를 초기화한 뒤, 실행.

IPS 로 구동시키기

[ 침입방지시스템 (IPS : Intrusion Preventing System) ]

- 공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 솔루션

- 침입탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석한 후, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단

- 일반적으로 IPS는 방화벽 내부에 설치 ( 방화벽과 연동하여 공격을 탐지할 수 있기 때문 )

 

• 차단 필터 구성
• vi /etc/snort/snort.conf  맨밑줄에 추가
• rate_filter gen_id 1, sig_id 181818, track by_src, count 2, seconds 10, new_action drop, timeout 30
• Snort 가동 & 방화벽 연동
• snort -Q --daq nfq --daq-mode inline --daq-var queue=0 -c /etc/snort/snort.conf  -A full -l /var/log/snort -K ascii
• iptables -A FORWARD -j NFQUEUE --queue-num 0

스노트의 오픈 소스 네트워크 기반 침입 탐지 시스템(NIDS)은 실시간 트래픽 분석과 IP에서의 패킷 로깅을 수행하는 능력을 갖는다. 스노트는 프로토콜 분석, 내용 검색 그리고 매칭을 수행한다.

이 프로그램은 또한 조사나 공격을 탐지하는데 사용될 수 있다. 이러한 조사나 공격으로는 공용 TCP/IP 스택 핑거프린팅, 공용 게이트웨이 인터페이스, 버퍼 오버플로, 서버 메시지 블록 조사 그리고 스텔스 포트 스캔 등이 있다.[9]

스노트는 세 주요 모드로 설정될 수 있다. 스니퍼, 패킷 로거 그리고 네트워크 침입 탐지가 그것이다.[10] 스니퍼 모드에서 프로그램은 네트워크 패킷을 읽고 콘솔에 보여준다. 패킷 로거 모드에서 프로그램은 패킷을 디스크에 기록한다. 침입 탐지 모드에서 프로그램은 네트워크 트래픽을 모니터하고 사용자에 의해 정의된 규칙에 반하는지를 분석한다. 프로그램은 그 후 특정한 동작을 수행한다.[11]