본문 바로가기
코리아IT아카데미 [국비과정]/수업

[Network/Linux] SNORT(침입 탐지 시스템 : IDS) 심화

똥쟁필 2025. 4. 2. 15:15

SNORT 기본 참고

 

[Network/Linux] SNORT (침입 탐지 시스템 : IDS)

SNORTSnort : 네트워크 트래픽 실시간 분석,로그기록네트워크 침입 탐지 및 방지 시스템(IDS/IPS) snort.org 홈페이지에서 Download Binaries에서 snort-2.9.20-l.centos.x86_64.rpm마우스 우클릭 후 링크 복사 복사한

hanpil00.tistory.com

 

SNORT 심화

snort 설정파일에서 위 코드를 추가

Test 문자열을 포함한 패킷을 TCP 프로토콜로

목적지 10.10.10.10 8080으로 보내는

패킷에 대해 경고를 발생시킴

(Test와 test는 다른 문자열로 취급함)

nc (Netcat) : 네트워크 데이터 송수신 도구

수신 대기 서버는 10.10.10.10

(왼)에서 8080 포트에 수신 대기함

(오)에서 8080 포트에 연결을 시도함

 

10.10.10.100에서 snort -i ens32 -c local

명령어 입력, ens32 네트워크 트래픽을 캡처

local을 사용하여 해당 트래픽 분석함 (데몬)

(정책 수정 시 취소했다가 데몬 재실행해줘야함)

 

10.10.10.100 새로운 창에서 해당 명령 입력

 

alert 파일에 기록되는 새로운 내용을

실시간으로 모니터링하고 실시간 이벤트,

오류 로그 추적, 경고 메시지 대응함

 

칼리에서 TEST, test, Test 세 문자열 입력

Test 문자열 입력에 대한 로그를 출력

(대소문자를 구분했기 때문에 Test만 뜸)

 

nocase 규칙을 사용하여 대소문자 구분 X

Snort 규칙에서 특정 문자열 탐지 조건에서

nocase를 사용하면 대소문자 관계없이

패턴을 찾을 수 있음 (유연성)

 

각 TEST, test, Test 문자열을 입력했을 때

3개의 로그, 경고메시지를 출력함

 

아스키 코드 a는 97, 16진수로 변환 시 61

목적지 10.10.10.10 8080에 대한 TCP 패킷에서

aaa라는 문자열이 포함된 경우 탐지하고

경고 메시지 aaa 출력

 

칼리에서 aaa 입력 시 61에 대한 a의 

로그를 출력하고 경고 메시지 aaa를 출력함

 

출발지 20.20.20.200(칼리)에서 

목적지 10.10.10.10(서버)간의 트래픽 검사

"123" 문자열이 4바이트 이후부터 7바이트까지

포함된 경우를 탐지함

 

4바이트 이후부터 7바이트까지

"123" 문자열이 포함된 경우를 탐지

00001234567, 7777123777,

11112222212, 111[2222123] 

4개의 로그, 경고메시지를 출력함

 

abc와 test라는 두 문자열 포함 및 검사

"abc"와 "test" 사이 최소 10바이트 이상의

간격이 있어야 경고를 발생함 (일정거리 탐지)

 

칼리에서 abc1234567890test 입력 시

abc 사이 1234567890(10바이트) 값 추가

뒤에 test를 입력함으로써 로그를 출력함

 

Telnet 연결에서 로그 메시지를 기반

접속 성공과 실패를 감지, 경고 메시지 출력

 

텔넷 접속 실패와 로그인 성공을 시도

 

접속 실패 시 Telnet Fali 경고 메시지

접속 성공 시 Telnet OK 경고 메시지

두 개의 로그 메시지를 출력함

 

특정 웹사이트(https)로 가는 패킷 중

페이스북, 인스타그램을 포함하는

트래픽을 감지하고 경고를 발생함

 

10.10.10.10에서 페이스북, 인스타그램 접속

 

SNS_ACCESS 경고 메시지 출력

기록된 로그에서 출력이 되는 것을 확인

 

SQL 인젝션 공격 패턴을 탐지

board_view.php 웹 같은 URL에 대한

HTTP 요청에서 UNION, SELECT, OR,%27, %23와

같은 SQL 인젝션 공격을 찾고

경고 메시지 "SQL_injection"을 출력

 

웹에서 SQL injection 공격 수행

 

기록된 로그에서 SQL_injection

경고 메시지가 출력되는 것을 확인

 

"script" 문자열이 포함되어 있는 경우

XSS 공격을 시도하는 패턴을 발견, 경고 발생

XSS 공격을 시도를 알리는 경고 메시지 "XSS" 출력

 

게시판에서 <script> 태그를 이용한

XSS 악성 스크립트 공격 수행

 

악성 스크립트 XSS 공격의 흔적을 탐지 후

해당 트래픽이 XSS 공격 시도를 알리는

경고 메시지 "XSS"를 출력함

 

'코리아IT아카데미 [국비과정] > 수업' 카테고리의 다른 글

[Network/Linux] SNORT(침입 탐지 시스템 : IDS) Scan 탐지  (0) 2025.04.02
[Network/Linux] SNORT(침입 탐지 시스템 : IDS) DOS 탐지  (0) 2025.04.02
[Network/Linux] SNORT(침입 탐지 시스템 : IDS) 기본  (2) 2025.04.01
[Linux/OTP] Google OTP 및 LinOTP  (3) 2025.03.26
[Linux] 데이터베이스  (0) 2025.03.14

'코리아IT아카데미 [국비과정]/수업' Related Articles

티스토리툴바