IDS / IPS

Snort

Snort는 네트워크 보안 및 침입 감지 시스템(Intrusion Detection System, IDS) 및 침입 방지 시스템(Intrusion Prevention System, IPS)으로 사용되는 오픈 소스 소프트웨어다. Snort는 패킷 분석을 통해 네트워크 트래픽에서 이상한 동작이나 침입 시도를 탐지하고 경고 또는 대응 조치를 취할 수 있다.

 

 

주요 특징과 동작 원리

• 패턴 매칭 : Snort는 미리 정의된 시그니처 규칙을 사용하여 네트워크 트래픽을 검사한다. 시그니처 규칙은 특정 공격이나 악성 활동을 식별하기 위한 패턴을 정의한다. 예를 들어, 알려진 바이러스나 웜 공격 패턴을 식별할 수 있다.
• 프로토콜 분석 : Snort는 네트워크 트래픽을 분석하여 다양한 네트워크 프로토콜을 이해하고, 프로토콜 수준에서의 이상을 탐지할 수 있다. 이로써 알려지지 않은 공격에 대한 감지도 가능하다.
• 로깅 및 경고 : Snort는 이상한 활동을 감지하면 이를 로그로 기록하고, 관리자에게 경고 메시지를 보내거나 다른 대응 조치를 취하도록 설정할 수 있다.
• 커스터마이징 : Snort는 사용자가 시그니처 규칙을 수정하거나 새로운 규칙을 추가하여 네트워크 트래픽 분석을 커스터마이징할 수 있다.
• 오픈 소스 : Snort는 오픈 소스로 제공되므로 무료로 사용할 수 있으며, 커뮤니티와 개발자들이 계속적으로 업데이트와 개선을 진행한다.

 

 

참고 사이트

IDS/IPS 의 개념과 (snort, sur.. : 네이버블로그 (naver.com)

IDS/IPS 의 개념과 (snort, suricata)

 

 

설정

빨간박스 클릭 후 save

 

 

설정

 

 

업데이트 시간 설정

 

 

빨간박스 클릭

 

 

Success 확인

 

 

모두 선택 후 저장

 

 

페이지 밑에 있는 저장 클릭

 

 

빨간 박스에 위치한 start 버튼 클릭

 

 

공격 탐지 실습

kali에서 beebug 접속

 

 

Hack 클릭

 

 

XSS 공격 시도

 

 

공격 모두 성공!

 

 

로그 확인

 

 

XSS 공격을 잘 탐지함

 

 

빨간박스를 클릭하면 예외 규칙 추가 가능

 

 

빨간 박스 클릭 후 snort 재시작

 

 

kali에서 다시 XSS 공격하면 어떤 로그도 뜨지 않음

 

 

공격 block 실습

block 설정

 

 

앞에서 설정한 예외 규칙 제거 후 snort 재시작

kali에서 첫번째 공격하면 snort에서 공격 인지

 

 

두번째 공격시 아무리 Go를 클릭해도 안 됨

 

 

시간이 지나면 time out 뜨면서 공격이 block 됨

 

 

심지어 snort가 공격한 ip 주소를 리스트로 기억해서 kali에서 bwapp 접속 시 접속이 안 된다.

리스트를 지우고 snort를 다시 실행하면 kali에서 bwapp에 접속이 가능해진다.