반응형
우분투에 TCP dump라는 도구를 설치한다. TCP 덤프는 커맨드 라인에서 사용할 수 있는 와이어샤크와 같은 도구이다. 9
(참고로 와이어샤크는 패킷캡쳐 도구)
그 다음 칼리 리눅스에서 hping3 [우분투의 ip주소] --icmp 명령을 입력해, ICMP 요청을 보낸 뒤 우분투로 간다.
위와 같이 우분투에서 tcpdump -e icmp[icmptype] == 0 -v 명령어를 입력한다. 이는 우분투 운영체제에서 칼리리눅스 운영체제로 ICMP 응다을 보내는 패킷만 출력해서 볼 수 있는 명령어이다.
하지만 TCP dump가 아닌 스노트를 이용하면 상대방으로부터 ICMP 요청이 들어오는 상황을 더 잘 탐지할 수 있다.
위와 같이 /etc/snort/rules/local.rules라는 탐지 규칙을 생성해준다. (중간에 계속 sudo 하는게 불편해서 root 계정으로 전환했다^-^)
먼저 alert 부분은 스노트의 동작을 명시한 설정이다. 즉, 단순히 탐지한 내용을 이벤트를 통해 출력하겠다는 의미이다. alert 외에도 log, pass, activate 등의 기능도 있다. alert 기능 대신 drop 기능이나 reject 기능을 설정하면 스노트를 IPS 용도로 사용할 수 있다.
반응형
'침입탐지 및 차단시스템 > 침입탐지 및 차단시스템 입문' 카테고리의 다른 글
| 8. 스노트 설치 및 설정 (0) | 2021.05.07 |
|---|---|
| 6. IDS와 IPS에 대해서 (0) | 2021.04.12 |
| 4. 전송계층의 헤더 기능 (0) | 2021.04.05 |
| 3. 네트워크 계층에서의 주요 공격 유형 (0) | 2021.04.05 |
| 2. 네트워크 계층의 헤더 기능 (0) | 2021.04.05 |
댓글