IT보안타파

먼저 옵션을 보겠다. threshold:type [limit,threshold,both], track [by_src, by_dst], count [횟수], seconds [초] 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type limit, type by_dst, count 6, second 10; sid:10000008;) 패킷을 10개를 보내도 경고와 로그는 6번만 남는 것을 알 수 있다. 자 두번째로는 threshold 옵션을 살펴 보겠다 설명과같이 나올까? 살펴보도록 하자! 옵션은 alert icmp any any -> 192.168.112.198 any (msg:"ICMP Ping Test"; threshold:type threshold. ty..

환경 구축에 필요한 내용에 대해 설명을 먼저 하겠다. 리눅스에서 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 는 밑의 그림과 같이 설명할 수 있다.두번째 예로 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 2.2.2.2:80환경 구축을 위해 설정을 정리해 보겠다. CentOS IP 대역대 Kali IP 대역대 XP IP 대역대 환경 구성도 CentOS에서 모든 통신이 되게 설정을 시작하겠다. PORTWARD에서 -o 기준은 가운데 선을 그어서 10.10.10.x와 192.168.112.x는 IP 대역대가 다르기 때문에 서로 알지 못한다. 그래서 패킷이 서로 지나가게 끔 설정을 해준다. 가운데 ..

Snort 룰 icmp 하는 법은 쉽게 할 수 있다. alert icmp any any -> $HOME_NET any (msg:"ICMP"; sid:1000001;) 이렇게만 설정을 해줘도 icmp 탐지를 할 수있다. 여기서 옵션을 하나하나 설명하겠다. "모든 IP와 모든 PORT에 대해 HOME_NET로 모든 PORT가 icmp로 패킷을 전달 할 때 icmp를 탐지" 해라는 뜻 입니다. 여기서 뒤에 msg는 ICMP 패킷이 탐지되었으면, 해당 경고 사항에 대한 이름을 ICMP로 표현을 한 것이고, sid는 룰 정의를 하는 번호입니다. 100~1,000,000는 SNORT에서 할당한 번호 1,000,000 사용자 정의 룰 할당 번호이다. ※반드시 룰 설정 시 sid를 기입해줘야 한다. 룰이 하나씩 정의 ..

Snort 준비물 위에 파일을 받아 주세요. 따로 필요한 자료는 받아 설치 해주세요CentOS 6.x 를 이용하였습니다. 밑의 모든 내용을 다 해야합니다. 1. ping 8.8.8.8 통신 확인 ping google.com 통신 확인 2. yum -y install epel-release -> Red Hat 계열 리눅스(RHEL, CentOS, Oracle Linux...) 에서 유용한 유틸리티가 많이 포함되어 있어 필수적으로 설치하는 추가 Repository 이다. 3. sed -i -e "s/enabled=1/enabled=0/g" /etc/yum.repos.d/epel.repo -> 기본 저장소와 충돌하지 않게 epel.repo 파일을 enable=0 으로 비활성화. 이 저장소를 사용하려면 yum ..