snort를 이용한 패킷 탐지

방화벽

업데이트를 위해 잠시 방화벽을 열어놓자

 

 

 설치 패키지 및 설정

apt -y update

apt -y install open-vm-tools open-vm-tools-desktop

reboot

 

 

nano /etc/nsm/rules/local.rules

확인

 

 

rule-update

 

nsm --sensor --restart --only-snort-alert

 

 

비규칙 모드 활성화

 

 

비규칙 모드 활성화

 

 

참고 사이트

https://nan491.tistory.com/entry/VMware-Snort%EC%97%90-%EB%8C%80%ED%95%98%EC%97%AC-%EC%95%8C%EC%95%84%EB%B3%B4%EA%B8%B0-%EC%8B%A4%EC%8A%B5%ED%95%98%EA%B8%B0-1

[VMware] Snort(스노트)에 대하여 알아보기 & 실습하기 - 1

 

 

실습

명령어 so-test 실행 시 패킷 확인됨

 

 

터미널에서 curl securityonion.com 실행하고 패킷 확인

 

 

kali에서 beebox로 침투하는 패킷을 잡아보자. 빨간박스 선택

 

 

beebox의 파일 passwd 탈취

 

 

securityonion에서 확인