시스템/네트워크 보안 #2 Snort

Snort?

오픈소스 기반의 IDS이자 IPS

 

-작동 방식

스니퍼 -> 패킷디코더 -> 전처리기 -> 탐지엔진 -> 경고/로깅

Sniffer : 네트워크 패킷 수집

Packet Decoder : 전처리기와 탐지엔진이 파싱할 수 있도록 정규화

Preprocessor(전처리기) : 의심 패킷을 탐지 엔진으로 전송

Detection Engine(탐지엔진) : 전달받은 패킷을 스노트 규칙과 매칭되는지 확인

Alert/Log :  매칭된 경우 경고출력 및 기록 

 

Suricata?

OISF에서 개발한 시그니처 기반 네트워크 침입탐지 시스템

LUA 언어로 시그니처 작성

멀티 코어/ 멀티 스레드 지원하여 대용량 트래픽 처리 가능

 

 

 

 공격자 port scan 시도(왼: 차단X 오: 차단O)

 

Alert Log

Block Log

 

Snort Rule 작성

1) 프로토콜

2) 방향 연산자

3) 

 

 

 

 

 

 

 

 

 

Brute Force Attack에 대한 Snort rule 설정

Alert 결과