본문 바로가기
코리아IT아카데미 [국비과정]/수업

[Network/Linux] SNORT(침입 탐지 시스템 : IDS) 기본

똥쟁필 2025. 4. 1. 23:14

SNORT 기본

Snort : 네트워크 트래픽 실시간 분석,로그기록
네트워크 침입 탐지 및 방지 시스템(IDS/IPS)
 
snort.org 홈페이지에서 Download 

 

Binaries에서 snort-2.9.20-l.centos.x86_64.rpm
마우스 우클릭 후 링크 복사
 

복사한 링크 wget 명령어를 통해 다운로드함

 

다운로드한 패키지를 설치하고
설치한 패키지 파일 목록 조회시
snort의 데몬과 설정파일을 찾음

 

(dnf grouinstall "Development Tools")

(dnf install epel*)

두 패키지 설치 해야 다운로드 가능 

 

IP 주소, 네트워크 인터페이스, 라우팅 등
다양한 기능을 제공하는 libdnet 패키지 설치
 

시스템에서 설정 파일의 유효성을 검증
에러 뜸 "No such file or directory"
설정 파일 경로를 찾는데 파일, 디렉터리 존재 X
 
심볼릭 링크가 올바르게 설정되어야 함
 

libdnet.so.1.0.1 심볼릭 링크를
libdnet.1 이라는 이름으로 생성
(라이브러리 파일에 대한 일관된 접근 경로)
 

다시 실행하게 되면 에러뜸, Snort가 
동적 규칙 파일을 찾지 못하거나
해당 경로에 디렉토리 존재 X
 

디렉터리 경로 생성 후 실행 시 다시 에러가뜸
Snort 설정에서 해당 파일을 잘못 참조함
 

여러번 설정 파일을 수정하기 전 
백업본을 만들어 안전하게 설정을 관리
 

vi /etc/snort/snort.conf

snort 설정파일에서 각 변수들을
절대 경로 대신 상대 경로로 설정
주로 이식성과 유지보수성을 높이기 위함
(상대 경로 시 경로 문제를 최소화 함)
 

위 에러 내용처럼 /etc/snort/rules/local.rules
경로에 해당 파일을 생성 시 다시 오류 뜸
 
파일을 생성했지만 상위 디렉토리가
없다면 해당 명령어로 파일 생성 X
 

설정파일에서 맨 밑줄 threshold.conf 복사
include reference.config 밑에 붙여넣기
 
설정 파일에서 Snort의 설정을 모듈화,
임계 값 관련 설정을 별도의 파일로 
관리할 수 있게 설정함
 
reference.config 아래에 두는 이유는
올바른 로딩 순서를 반영하기 위함
(시그니처 로드 → 임계 값 설정)
 

reference.config 아래에 두고 밑은 다지움
설정 파일을 깔끔하게 유지하기 위한 목적
(구성 파일의 중복 설정을 방지)
 

화이트와 블랙리스트를 활용하여 
불필요한 경고를 방지, 의심스러운 트래픽 차단
상대경로로 수정하여 유연성, 이식성,
유지보수 용이성 등 설정 오류를 감소함
(경로에 의존 X, 재사용하기 위함)
 

빈 파일로 생성하여 Snort가 필요한 파일을
찾을 수 있게 되고 경고나 필터링을 제대로 처리함
(Snort가 정상적으로 작동하기 위함)
 

snort -T -c /etc/snort/snort.conf

다시 실행하면 successfully ! 
snort가 설정파일을 성공적으로 검증함
 

VMware에서 위 명령어 실행 시
네트워크 인터페이스 ens32에서
트래픽 캡처 및 트래픽을 검사함
(인터페이스가 다를 수 있어서 vmware 진행)
 

alert : Snort 동작을 정의 (경고 발생)
any → any any : 출발지, 목적지 트래픽 검사
msg : 경고 메시지 정의
sid : Snort ID (식별 번호)
 
10.10.10.10에서 보내는 ICMP 패킷을 감지함
 

실시간 로그 파일 모니터링함
네트워크 침입 탐지 시스템(NIDS)에서
생성하는 로그 파일을 실시간으로 추적
 

칼리리눅스 20.20.20.200에서
10.10.10.10으로 핑을 보내보면

 

10.10.10.10에 대한 Echo Reply가
감지하되면서 경고가 발생함
 

 각 파일에 대한 심볼릭 링크를 만들어
다른 위치에서 local, alert라는 이름으로 참조함
 

기존 규칙 지우고 새로운 두 규칙 설정
첫 번째 규칙은 ping 요청 패킷을,
두 번째 규칙은 ping 응답 패킷을 감지
두 규칙을 통해 각각 트래픽 경고를 출력
 

10.10.10.10번에서
20.20.20.200으로 핑을 보내게 되면
 

10.10.10.10에서 ICMP_REQUEST라는
경고 메시지를 보냄, ICMP Echo Request
ping 요청임을 알려줌

'코리아IT아카데미 [국비과정] > 수업' 카테고리의 다른 글

[Network/Linux] SNORT(침입 탐지 시스템 : IDS) DOS 탐지  (0) 2025.04.02
[Network/Linux] SNORT(침입 탐지 시스템 : IDS) 심화  (0) 2025.04.02
[Linux/OTP] Google OTP 및 LinOTP  (3) 2025.03.26
[Linux] 데이터베이스  (0) 2025.03.14
[Linux] rsyslog와 rsync  (0) 2025.03.13

'코리아IT아카데미 [국비과정]/수업' Related Articles

티스토리툴바