http://valley.egloos.com/tag/snort snort ko Tue, 26 Jul 2011 10:06:27 +0900 Egloos http://minogi.egloos.com/2170901 http://minogi.egloos.com/2170901 -> 패킷 스니퍼 (Sniper) - 네트워크 사으이 다양한 데이터 확인을 위하여 이더넷 인터페이스를 Promiscuous 모드로 동작 - 다양한 네트워크 트래픽을 보기 쉬운 형태로 변환 -> 전처리기 (Preprocessor) - 스니퍼로 캡처한 모든 패킷을 각종 Plug-IN 으로 검사하여 패킷에서 특정한 행위가 검색 될 경우 탐지 엔진으로 전송 (HTTP Encoding, RPC, Port scanning) - 프로토콜 규칙을 따르지 않는 패킷을 탐지하기 위한 기능 (비정상 검사) -> 탐지엔진 (Detector) - 규칙 기반의 패턴 매칭을 하며, 구칙은 특정한 부분의 일치, 불일치를 검사함 (빠른 속도) - 최신버전에는 Snort 탐지 엔진 외에 Lua 와 RNA 도 포함되 ]]> Tue, 26 Jul 2011 10:06:27 +0900 http://agol.egloos.com/5492160 http://agol.egloos.com/5492160 SNORT 를 운영하기 위해서 1번을 선택했다면 MySQL 이 있어야 한다. IDS Policy Manager 툴을 사용한다면 apache 나 php 는 없어도 되긴 하지만, 장기적으로 mysql 의 관리를 위해서라든가 기타 다른 툴들의 사용을 위해서는 APM 세트를 설정해 놓는것이 여러모로 유용하니 APM 설치를 시행해 두자. 상기 Link 에 가면 apm 설치가 편리하게 되어 있는 xampp 를 받을 수 있다.apm 설치 및 운영은 또 다른 영역이니 별도로 설명하지 않겠다. APM 설치 및 운영에 관한 글은 다른 곳에서도 많이 찾을 수 있을 것이다. xampp 를 이용하여 apm 설치를 정상적으로 잘 마쳤다면 이제 기본설정을 해줄 차례이다.snort.conf 를 수정하여야 하는데, 만의하나 원본 ]]> Fri, 04 Mar 2011 17:23:16 +0900 http://agol.egloos.com/5491654 http://agol.egloos.com/5491654 이제 본편으로 들어가 SNORT 설치이다. 위 Link 에 접속하면 나오는 페이지 중 아래와 같은 Latest Release 부분이 있다. 이중 Binaries 에서 Snort_2_9_0_4_Installer.exe 를 클릭해서 받으면 된다. Snort 설치하려는 사람이 이런 정도의 Tip 이 필요하진 않겠지만, 혹시 다운로드가 받아지는게 아니라 이상한 글자만 잔뜩 나오는 페이지가 로딩이 된다면 우클릭해서 "다른이름으로 저장"을 선택하면 된다. 만약 이 팁이 없었다면 헤맸을 것이라면.. Snort 설치를 심각하게 재고해 보기를 바란다. 힘만 들고 재미도 없고 얻을 수 있는게 별로 없을 확률이 크니까... 파일을 받았으면, 설치를 시작한다. 선택할 것 ]]> Thu, 03 Mar 2011 16:41:21 +0900 http://agol.egloos.com/5491648 http://agol.egloos.com/5491648 각종 침입탐지를 위한 SNORT 를 Windows 에 설치하려고 보니 제대로 된 포스팅이 하나도 없다. 개인적으로 참고하기 위해서 포스팅이므로 일반적인 환경과는 맞지 않을 수 있으니, 혹시나 보시는 분들은 오해 없으시길 바란다. SNORT 설치해서 실제 Rule 설정하는 부분까지 포스팅 하려 한다. 첫번째는 pcap 설치이다. 이번에 설치하려는 Snort 나 WireShark(구 ethereal)등의 기타 네트워크 분석 툴의 운용을 위해서는 pcap library 가 필수다. Linux 계열들은 libpcap 이 기본으로 내장되어 있어 별도의 설치가 필요없는 경우가 많지만, 윈도우는 별도로 설치해 주어야 한다. SNORT 전에 pcap 부터 설치하자. 아래의 다운로드 link 에서 Installer ]]> Thu, 03 Mar 2011 16:16:02 +0900 http://xeraph.egloos.com/5319205 http://xeraph.egloos.com/5319205 Thu, 22 Jul 2010 14:29:31 +0900 http://xiii.egloos.com/4736414 http://xiii.egloos.com/4736414 Fri, 30 Apr 2010 00:45:26 +0900 http://xeraph.egloos.com/5112005 http://xeraph.egloos.com/5112005 Mon, 02 Nov 2009 18:09:12 +0900