3. 침입탐지 모드
------------------------------------------------------------------------------------------------------
rule 을 이용하여 캡처된 패킷과 비교 후 경고 및 기록
[fedora]
받은 패키지를 푼 디렉토리로 이동하자
# cd /tmp
# cd snort-2.6.1.5
# ls
COPYING aclocal.m4 configure libtool snort.8
ChangeLog config.guess configure.in ltmain.sh src
LICENSE config.h contrib m4 stamp-h1
Makefile config.h.in depcomp missing templates
Makefile.am config.log doc mkinstalldirs verstuff.pl
Makefile.in config.status etc rpm
RELEASE.NOTES config.sub install-sh schemas
# cd etc
# mkdir /etc/snort // 룰 적용을 위한 설정 폴더
# cp * /etc/snort -v // 설정파일 복사
# cd /etc/snort
# vi snort.conf
114 line 에서 rule의 위치를 절대경로 로 수정 후 저장
# ls /var/log/snort // 기존 로그가 있다면 삭제
# rm -rf /var/log/snort/*
snort 구동
# pwd
/etc/snort
# snort -c snort.conf // -c conf 파일 위치
// rule파일이 없어서 error
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
// rule 다운로드
# ls
# tar xvfz snortrules-pr-2.4.tar.gz // snort rule파일을 풀어 주자 # pwd 는 /etc/snort
# ls // rules 폴더가 생겼다.
에러가 메시지가 뜬다 . 아마도? web-misc 부분일것이다.
snort.conf 파일 수정하자
# vi /etc/snort/snort.conf
/web-misc
해당 라인을 주석 처리 하자.
# snort -c /etc/snort/snort.conf
혹
/var/log/snort 폴더 가 없다는 이유로 에러가 뜰수 있다.
# mkdir /var/log/snort
# snort -c /etc/snort/snort.conf
정상 작동 된다면
ctrl + z
강종
# ps -ef | grep snort // snort 는 아주 독한? 프로그램이라 ctrl +z 만 먹는다.
// 종료후 남은 프로세스를 킬해주자
snort pid #
# kill -9 # ( snort pid )
or // 귀찮다면 아래처럼 해도 된다.
# pkill -9 snort
# ps -ef | grep snort
# snort -c /etc/snort/snort.conf -D // -D 데몬 형태로 백그라운드에서 실행
[ centos ]
# nmap -sS -O -v 192.168.10.10 // fedora로 스캔 땡겨보자
[ fedora ]
# ls -l /var/log/snort
alert 외 snort.log.xxxx 파일이 생성되었다. 탐지 했다는 뜻 ㅡㅡ/
# cat alert | more
# cat snort.log.xxxx // 꺠져 보인다. alert는 그냥 볼 수 있지만 log파일은 snort로 보자.
# snort -r /var/log/snort/snort.log.xxxx
------------------------------------------------------------------------------------------------------
Rss Feed